Nächster Beitrag: Wie kann ich meinen Router sicherer machen?
Letzter Beitrag: Ransomware auf dem PC...und jetzt?
Achtung:
Diese Beiträge sind teilweise älter als 2 Jahre. Ich kann keine Korrektheit der Inhalte garantieren. Ebenfalls können die Beiträge von meiner aktuellen Meinung abweichen. Ich finde sie dennoch informativ und würde sie ungern löschen. Für Fragen zu allen der Beiträgen stehe gerne zur Verfügung.
Schon einmal überlegt, wie ein Antivirensystem schädliche Dateien erkennt? Hier ein kleiner und grober Einblick.
Nach welchen Kriterien wird eine Datei als Virus erkannt?
Zum einen gibt es riesige Datenbanken, mit den neusten Viren. Wie im Tutorial #12 erklärt, wird beispielsweise eine Prüfsumme der Datei erstellt und mit der Datenbank verglichen. Sollte es schon eine bekannte Datei sein, die schädlich ist, wird sie direkt erkannt. Sollte eine Datei verdächtig sein aber es kann nicht sicher gesagt werden, ob sie schädlich ist, werden sie meistens einfach hochgeladen und auf den Servern überprüft.
Es gibt auch noch Viren, ohne eine Datei. Sie befinden sich nur im Arbeitsspeicher und können mit einem Festplatten-Scan nie erkannt werden. Wird der RAM nun durchsucht, kann nach verdächtigen Einträgen und Zugriffe auf Dateien gesucht werden.
Was ist aber nun, wenn wir offline nach Viren scannen?
Nun, die meisten Systeme sind mit einer KI (Neurales Netzwerk) ausgerüstet, die an der Datei-Struktur erkennt, ob es womöglich schädlich ist.
Zudem können bestimmte gespeicherte Wörter und Sätze aus einem Programm gefiltert werden, wie zum Beispiel: "Dein PC wurde verschlüsselt" oder "zahle xyz Bitcoins".
Was ebenfalls verdächtig ist, ist, wenn ein Programm verschlüsselt oder "Obfuscated" ist. Bedeutet, dass es erschwert wird, den Inhalt der Daten zu lesen.
Wie unterscheidet man aber zwischen einem von uns beabsichtigten und ungewollten Programm?
Downloade ich ein Cheatprogramm für ein Spiel, wird es direkt erkannt, klar, es manipuliert unsere Dateien. Also wird es blockiert. Um Programme wie z. B. NVIDIA GeForce welche ohne weiteres Treiber installieren können, nicht zu blockieren, haben sie meistens eine Signatur, welche dann erkannt wird.
Ansonsten wird das Programm immer als schädlich angezeigt. Ob ihr nun dem Entwickler vertraut, der sagt, dass ihr euren Schutz deaktivieren sollt, müsst ihr entscheiden. Ich empfehle es nicht. Für den Entwickler wäre es lukrativer euren PC zu manipulieren, als das Spiel. Ist bloß schwieriger.
Wie funktioniert diese Quarantäne bei Antivieren-Programmen?
Die schädliche Datei wird gelöscht, in einen versteckten Ordner verschoben und so bearbeitet, dass sie nicht mehr ausgeführt werden kann. Versteckte Ordner können kaum eingesehen werden und solltet ihr einen leeren Ordner haben, kann es manchmal sein, dass sich die schädliche Datei trotzdem darin befindet.
Für den, der sich für dieses Thema interessiert, kann ich diese Links nur empfehlen: