Wie Antiviren-Software funktioniert: Techniken zur Viren-Erkennung

Antiviren-Tools sind Teil der meisten Antimalware-Suites und lassen sich in vier Klassen einordnen. Diese Techniken gibt es und so funktionieren sie.

Ein wesentlicher Bestandteil der meisten Antimalware-Suites ist ein Antiviren-Tool mit der Aufgabe, bekannte sowie...

bisher noch nicht aufgetauchte Dateien mit bösartigem Code zu identifizieren und zu blockieren, bevor sie im System Schaden anrichten. Zwar unterscheiden sich diese Tools hinsichtlich der Implementierung ihrer Mechanismen zur Erkennung von Malware, allerdings nutzen sie meist die gleichen Verfahren für die Erkennung von Viren. Sich mit diesen Techniken vertraut zu machen, kann zu einem besseren Verständnis der Funktionsweise von Antiviren-Software führen.

Die Verfahren zur Viren-Erkennung lassen sich folgendermaßen klassifizieren:

Signatur-basierte Erkennung nutzt Schlüssel-Merkmale einer untersuchten Datei, um einen statischen Fingerabdruck bekannter Malware zu erstellen. Diese Signatur kann aus einer Reihe von Bytes in der Datei bestehen, kann aber auch ein verschlüsselter Hash-Wert der Datei oder bestimmter Teile davon sein. Dieses Verfahren zur Erkennung von Malware war schon immer eine wichtige Komponente von Antiviren-Tools. In vielen Tools findet es auch heute noch Verwendung, auch wenn seine Bedeutung abnimmt. Ein wesentlicher Nachteil der Signatur-basierten Erkennung: Aufgrund des Grundkonzepts dieser Technik können nur solche Schad-Dateien erkannt werden, für die bereits Signaturen vorhanden sind. Daher lassen die Autoren von bösartigem Code ihre Dateien heutzutage häufig mutieren. Dadurch ergibt sich einer andere Datei-Signatur, und das Schad-Potenzial ihrer Viren bleibt erhalten.

Heuristik-basierte Erkennung ermöglicht die Erkennung neuer Malware. Dazu werden die Dateien anstatt auf eine bestimmte Signatur hin auf verdächtige Merkmale geprüft. So kann ein Antiviren-Tool beispielsweise eine Datei nach selten verwendeten Befehlen oder Junk-Code durchforsten oder eine Ausführung der Datei emulieren, um so ihre Funktionsweise zu prüfen. Dies beeinträchtigt die System-Geschwindigkeit nur unwesentlich. Wird nur ein verdächtiges Attribut erkannt, reicht dies noch nicht aus, die Datei als bösartigen Code zu kennzeichnen. Allerdings kann das Vorhandensein mehrerer solcher Merkmale einen Alarm auslösen – die Datei wird in diesem Fall als Malware gekennzeichnet. Der größte Nachteil der Heuristik-basierten Erkennung besteht in einer möglichen Markierung harmloser Dateien als Malware.

Verhaltensbasierte Erkennung beobachtet die tatsächliche Ausführung eines Programms anstatt sie lediglich zu emulieren. Bei diesem Ansatz wird Malware anhand ihres verdächtigen Verhaltens identifiziert, beispielsweise durch das Entpacken von bösartigem Code, einer Manipulation von Dateien auf dem Host oder der Aufzeichnung von Tastatureingaben. Solche Aktionen ermöglichen einem Antiviren-Tool das Aufspüren einer im geschützten System bis dahin nicht aufgetretenen Malware. Ebenso wie bei der Heuristik-basierten Erkennung reichen einzelne verdächtige Aktionen allein nicht aus, damit das Programm als Malware gekennzeichnet wird – nur zusammengenommen können sie ein Hinweis auf ein Schad-Programm sein. Die Nutzung verhaltensbasierter Erkennung rückt Antiviren-Tools stärker in die Nähe von Systemen für Host Intrusion Prevention (HIPS) – einer traditionell eigenen Produktkategorie.

Cloud-basierte Erkennung identifiziert Malware, indem Daten der geschützten Computer gesammelt und anschließend in der Infrastruktur des Providers statt lokal analysiert werden. Normalerweise nutzt dieses Verfahren relevante Details über die Datei und den Kontext ihrer Ausführung auf dem Endpunkt. Nach Übertragung dieser Daten in die Cloud übernimmt die dortige Engine die Verarbeitung, so dass der lokale Antiviren-Client die System-Ressourcen nur geringfügig beansprucht. Zudem kann die Cloud-Engine des Anbieters Muster im Hinblick auf Merkmale und Verhalten von Malware ableiten, indem sie die Daten mehrerer Systeme zueinander in Beziehung setzt. Im Gegensatz dazu identifizieren andere Antiviren-Komponenten bösartigen Code hauptsächlich anhand des lokal beobachteten Verhaltens und auffälliger Merkmale. Bei einer Cloud-basierten Engine profitiert der Nutzer des Antiviren-Tools also von den Erfahrungen aller anderen Mitglieder dieser Community.

Auch wenn die oben genannten Ansätze unter verschiedenen Überschriften geführt werden, sind die jeweiligen Techniken in der Praxis oft kaum zu unterscheiden. Begriffe wie „Heuristik-basiert“ und „verhaltensbasierte Erkennung“ werden beispielsweise oft synonym verwendet. Darüber hinaus spielen diese Verfahren – ebenso wie die Signatur-basierte Erkennung – meist auch dann eine aktive Rolle, wenn das Tool über Cloud-basierte Funktionen verfügt. Um im Kampf gegen die zunehmende Flut an Malware die Oberhand zu behalten, müssen Anbieter von Antiviren-Software mit ihren Tools auf mehreren Ebenen ansetzen – nur einen einzigen Ansatz zu verfolgen ist keine sinnvolle Option mehr.

Über den Autor: Lenny Zeltser ist ein erfahrener Experte für Datensicherheit und hat sich mehrere Jahre lang intensiv mit Online-Bedrohungen und Abwehr-Mechanismen beschäftigt. Am SANS-Institute gibt er Kurse zu Malware-Bekämpfung.

Artikel wurde zuletzt im Oktober 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close