Br0di
25.01.2012, 11:00
Moin,
da ich wieder Zeit und auch Lust habe ein bisschen über Viren/Antiviren/Hackerszene zu philsophieren, Dacht ich mir das ich wieder einen kleinen Einblick gebe.
Das Thema was ich mir ausgesucht habe: Antivirenprogramme
Was sind Antivirenprogramme?
Nunja, der Name verrät viel. Anti also Gegen Viren. Es überprüft laufende Programme und PC's nach schädlichem Codé. Doch wie kann man sich das Vorstellen? Wie arbeitet ein AVP, wo sind die Schwierigkeiten, und warum schaffen es neue Exploits(Sprich Erste Ausnutzung einer Sicherheitslücke) immer wieder diese Schutzmauer zu durchbrechen?
Welche Funktionen erfüllen AVP?
1) Echtzeitscannung:
Programme führen Code aus. Jedes Programm hat Quelltext der nacheinander ausgeführt wird. Dieser wird nach Schadhaftem Code durchforstet und gegebenfalls blockiert. Zur Erkennung später mehr
2) Windows-API Vergleich:
In der Windows-API laufen alle Dienste die für den Reibungslosen Ablauf von Programmen zuständig sind. Diese Dienste kommen nicht irgendwoher sondern stehen logischerweiße auf der Festplatte.
Nun vergleicht der AVP die API mit der Festplatte. Sollten Dienste auftauchen die auf dem Hard Drive stehen, jedoch nicht in der API ist die Gefahr auf ein Rootkit gegeben
3) Zielscannung:
Hier werden Ordner durchsucht die Kritische Stellen darstellen. Typische Ordner hierfür sind all die, die hohe Rechte benötigen um ihre Funktion zu erfüllen. Ein Beispiel hierfür wäre auf der Bootpartition der Ordner System32.
Viren versuchen sich dort durch Täuschung bzw. durch Tarnung mit hohen Berechtigungen (z.B. Schreiben,Löschen) ausführen zu lassen.
Um das zu verhindern wird jedes Programm nach sogenannten Signaturen druchforstet.
Wie findet ein AVP überhaupt Viren?
Ein Virenprogramm kämpft gegen die Viren und verteidigt das Herzstück jedes PC's mit Abwehrmaßnahmen, drängt Sie immerwieder zurück und verbannt sie in der Qurantäne. Wohl kaum.
Es läuft extrem Simpel ab, simpler als die meisten vielleicht denken.
Ein AVP arbeitet hauptsächlich mit sogenannten Signaturen. Sie beinhalten eine Information über Schädlichen Code. Wird dieser Code wieder gefunden wird er mit der Datenbank verglichen und gegebenfalls blockiert.
Woher bekommt man Signaturen?
Wer auf die AVP-Technik gekommen ist braucht Sicher keinen Hochschulabschluss. Vermutlich reicht es aus wenn man seinen Namen tanzen kann.
Signaturen stammen aus den Viren. Neue Viren die entdeckt werden, werden komprimiert in Signaturen abgespeichert, und diese dienen dann zur Erkennung.
Heißt im Umkehrschluss: Sobald eine neue Lücke auftritt die nicht bekannt ist, sind wir auch mit dem besten AVP aufgeschmissen.
Wie in der echten Medizin wird der Schadstoff extrahiert und als Gegenmittel eingesetzt.
Daher gibt es auch kaum Unterschiede bei den führenden AVP-Herstellern.
Neben den "bösen" Hackern gibt es auch "gute" (wow..) Hacker. Diese versuchen vorhande Systeme zu brechen, und dort neue Exploits aufzudecken.
Was ist der beste Schutz?
Simpel: AVP Firewall, hohe Richtlinien
Kompliziert: Wer wirklich sich schützen möchte und seine Daten nicht an jedem Scriptkiddi andrehen will sollte sich zumindestest Oberflächlich mit der Materie auskennen. Wer nicht weiß wo Angegriffen wird kann sich nicht schützen.
So nun genug zu dem Thema. Fragen? Fragt. Kritik? Kritisiert.
Kommentare ala "Oh man hast du zuviel Zeit" könnt ihr euch gerne Ersparen, falls ihr so denkt macht mich das glücklich das ich euch eure Zeit rauben konnte indem ihr das hier gelesen habt.
Was interessiert euch noch rundum Technik und Computer?
Ich gebe gerne eine Kleine Information dazu :)
Grüß
Br0di
da ich wieder Zeit und auch Lust habe ein bisschen über Viren/Antiviren/Hackerszene zu philsophieren, Dacht ich mir das ich wieder einen kleinen Einblick gebe.
Das Thema was ich mir ausgesucht habe: Antivirenprogramme
Was sind Antivirenprogramme?
Nunja, der Name verrät viel. Anti also Gegen Viren. Es überprüft laufende Programme und PC's nach schädlichem Codé. Doch wie kann man sich das Vorstellen? Wie arbeitet ein AVP, wo sind die Schwierigkeiten, und warum schaffen es neue Exploits(Sprich Erste Ausnutzung einer Sicherheitslücke) immer wieder diese Schutzmauer zu durchbrechen?
Welche Funktionen erfüllen AVP?
1) Echtzeitscannung:
Programme führen Code aus. Jedes Programm hat Quelltext der nacheinander ausgeführt wird. Dieser wird nach Schadhaftem Code durchforstet und gegebenfalls blockiert. Zur Erkennung später mehr
2) Windows-API Vergleich:
In der Windows-API laufen alle Dienste die für den Reibungslosen Ablauf von Programmen zuständig sind. Diese Dienste kommen nicht irgendwoher sondern stehen logischerweiße auf der Festplatte.
Nun vergleicht der AVP die API mit der Festplatte. Sollten Dienste auftauchen die auf dem Hard Drive stehen, jedoch nicht in der API ist die Gefahr auf ein Rootkit gegeben
3) Zielscannung:
Hier werden Ordner durchsucht die Kritische Stellen darstellen. Typische Ordner hierfür sind all die, die hohe Rechte benötigen um ihre Funktion zu erfüllen. Ein Beispiel hierfür wäre auf der Bootpartition der Ordner System32.
Viren versuchen sich dort durch Täuschung bzw. durch Tarnung mit hohen Berechtigungen (z.B. Schreiben,Löschen) ausführen zu lassen.
Um das zu verhindern wird jedes Programm nach sogenannten Signaturen druchforstet.
Wie findet ein AVP überhaupt Viren?
Ein Virenprogramm kämpft gegen die Viren und verteidigt das Herzstück jedes PC's mit Abwehrmaßnahmen, drängt Sie immerwieder zurück und verbannt sie in der Qurantäne. Wohl kaum.
Es läuft extrem Simpel ab, simpler als die meisten vielleicht denken.
Ein AVP arbeitet hauptsächlich mit sogenannten Signaturen. Sie beinhalten eine Information über Schädlichen Code. Wird dieser Code wieder gefunden wird er mit der Datenbank verglichen und gegebenfalls blockiert.
Woher bekommt man Signaturen?
Wer auf die AVP-Technik gekommen ist braucht Sicher keinen Hochschulabschluss. Vermutlich reicht es aus wenn man seinen Namen tanzen kann.
Signaturen stammen aus den Viren. Neue Viren die entdeckt werden, werden komprimiert in Signaturen abgespeichert, und diese dienen dann zur Erkennung.
Heißt im Umkehrschluss: Sobald eine neue Lücke auftritt die nicht bekannt ist, sind wir auch mit dem besten AVP aufgeschmissen.
Wie in der echten Medizin wird der Schadstoff extrahiert und als Gegenmittel eingesetzt.
Daher gibt es auch kaum Unterschiede bei den führenden AVP-Herstellern.
Neben den "bösen" Hackern gibt es auch "gute" (wow..) Hacker. Diese versuchen vorhande Systeme zu brechen, und dort neue Exploits aufzudecken.
Was ist der beste Schutz?
Simpel: AVP Firewall, hohe Richtlinien
Kompliziert: Wer wirklich sich schützen möchte und seine Daten nicht an jedem Scriptkiddi andrehen will sollte sich zumindestest Oberflächlich mit der Materie auskennen. Wer nicht weiß wo Angegriffen wird kann sich nicht schützen.
So nun genug zu dem Thema. Fragen? Fragt. Kritik? Kritisiert.
Kommentare ala "Oh man hast du zuviel Zeit" könnt ihr euch gerne Ersparen, falls ihr so denkt macht mich das glücklich das ich euch eure Zeit rauben konnte indem ihr das hier gelesen habt.
Was interessiert euch noch rundum Technik und Computer?
Ich gebe gerne eine Kleine Information dazu :)
Grüß
Br0di