Anhang B. Erkennungsmethoden

 Zum Anfang  Zurück  Weiter

Alle Antivirenprodukte von Doctor Web setzen mehrere Methoden zur Erkennung von Bedrohungen ein, wodurch alle verdächtigen Objekte sorgfältig und zuverlässig untersucht werden.

Techniken zur Erkennung von Bedrohungen

Signaturbasierte Erkennung

Dieses Verfahren wird als Erstes eingesetzt. Hierbei wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von deren Prüfsummen verglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung ist aber eindeutig: Bedrohungen werden korrekt erkannt und infizierte Objekte werden desinfiziert. Virensignaturen in den Virendatenbanken von Dr.Web werden so präzise erstellt, dass anhand einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können.

Origins Tracing™

Einzigartige Technologie von Dr.Web, die zur Entdeckung von neuen und modifizierten Bedrohungen dient, die bereits bekannte und in den Virendatenbanken beschriebene Infizierungsmechanismen oder schädliches Verhalten benutzen. Dieses Verfahren wird nach dem Abschluss der Signaturanalyse durchgeführt und schützt die Benutzer der Antivirenlösungen von Dr.Web vor solchen Bedrohungen wie z.B. Trojan.Encoder.18 (der auch unter dem Namen „gpcode“ bekannt ist). Weiterhin ermöglicht es Origins Tracing, die Anzahl der Fehlauslösungen der heuristischen Analyse zu reduzieren. Zu den Namen von Bedrohungen, die mithilfe von Origins Tracing erkannt werden, wird die Endung .Origin hinzugefügt.

Emulation

Die Emulation der Ausführung des Programmcodes wird zur Erkennung polymorpher und verschlüsselter Viren eingesetzt, wenn die Suche anhand der Prüfsummen der Signaturen unmöglich oder wegen Mangels an zuverlässigen Signaturen wesentlich komplizierter ist. Das Verfahren basiert auf der virtuellen Ausführung des zu analysierenden Codes durch den Emulator, d. h. ein Simulationsmodell des Prozessors und der Laufzeitumgebung. Der Emulator wird in einer gesicherten Umgebung (Emulationsbuffer) ausgeführt. Dem zentralen Prozessor werden dabei keine Anweisungen übermittelt. Wenn ein durch den Emulator verarbeiteter Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, so dass er mit der signaturbasierten Erkennungsmethode überprüft werden kann.

Heuristische Analyse

Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen sowie eines zuverlässigen ausführbaren Codes. Jedes Merkmal besitzt einen bestimmten Punktwert (eine Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales anzeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn das Merkmal für die Computerbedrohungen nicht kennzeichnend ist. Aufgrund des Gesamtwertes, der den Inhalt des Objektes kennzeichnet, wird die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objektes darin mittels der heuristischen Analyse festgestellt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird festgestellt, dass das analysierte Objekt schädlich ist.

Bei der heuristischen Analyse wird auch die Technologie FLY-CODE™ verwendet. Das ist ein universaler Algorithmus zum Entpacken archivierter Dateien. Mit dieser auf heuristischen Vermutungen basierenden Technik kann festgestellt werden, ob die mit Packprogrammen komprimierten Dateien schädliche Objekte enthalten. Es handelt sich dabei nicht nur um Packprogramme, die den Virenabwehr-Spezialisten von Dr.Web bekannt sind, sondern auch um neue Programme, die noch nicht untersucht wurden. Bei jedem Scan eines verpackten Objekts wird auch seine Struktur-Entropie analysiert. Eventuelle Bedrohungen können anhand einiger spezifischer Teile des Codes erkannt werden. Diese Technologie ermöglicht, diverse schädliche Objekte, die mit dem gleichen polymorphen Packer gepackt wurden, anhand nur einer Signatur aufzuspüren.

Da es sich bei der heuristischen Analyse um die Hypothesenprüfung unter Unbestimmtheitsbedingungen handelt, können Fehler sowohl der ersten (Nichterkennen unbekannter Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als Schadprogramm eingestuft) auftreten. Aus diesem Grund erhalten die bei der heuristischen Analyse als „schädlich“ eingestuften Objekte den Status „verdächtig“.

Bei jedem Suchlauf verwenden alle Antivirenkomponenten der Dr.Web Produkte die aktuellsten Informationen über alle bisher bekannten bösartigen Programme. Die Virensignaturen und Informationen über die Merkmale und das Verhalten neuer Bedrohungen werden ständig aktualisiert und unverzüglich in die Virendatenbanken aufgenommen, sobald Spezialisten des Virenlabors von Doctor Web sie entdeckt haben. Manchmal werden neue Erkennungsmuster stündlich zur Verfügung gestellt. Selbst wenn ein bisher unbekanntes bösartiges Programm unbemerkt für den residenten Dr.Web Schutz ins System eindringt, wird es in der Prozessliste erkannt und nach der Aktualisierung der Virendatenbanken sofort neutralisiert.