Antivirenscanner nach zellulärem Vorbild



  • Hallo,
    Ich beschäftige mich z.Zt. mit IT-Sicherheit und
    da ist folgende Frage aufgekommen:
    Wie effektiv sind Virenscanner die nach ihrem bilogischen Vorbild arbeiten?
    Also verschiedene Module haben ,die befallene Programme erkennen, reparieren
    und ggf. vernichten.



  • Es kann kein Programm überprüfen ob ein anderes terminiert. => Man kann allgemein kein Programm schreiben was testet ob ein anderes Programm das berechnet was es soll. => Man kann nicht berechnen ob ein anderes (unbekanntes) Programm ein Virus ist oder nicht.

    Der Körper killt alles was nicht zum körper gehört. (Er überprüft auch nicht ob das eingedrungene eventuel gut oder von Vorteil ist. z.B. Abstoßung von transpantiertem Gewebe)

    Also könntest du nen Virenscanner schreiben der alles aus dem System entfernt was nicht zu der fest gegebenen Konfiguration gehört. (Dafür reicht aber auch ein Backup das bei Veränderung aufgespielt wird.)

    Man kann aber Virenscanner bauen die in anderen Programmen nach gefährlichen (bekannten) Programmcode sucht oder nach potetiell gefährlichen Befehlen oder Kombinationen davon.

    Dieser kann aber wegen der Beweiskette (siehe oben) nie zu 100% sicher arbeiten bei unbekannten Viren.

    Beispiel: Dein Virenscanner findet in einem anderen (unbekannten) Programm ein Befehl wie
    format d:\ Jetzt kannst du den Benutzer benachrichtigen das dieses fremde Programm ein eventuell gefählichen Befehl enthält.
    (Dein Virenscanner kann aber bei einem unbekannten Programm nicht entscheiden ob es bösartig ist oder nicht. Das fremde Programm könnte ein Virus sein (Böse) oder aber auch ne Partitionierungssoftware (Gut))
    Das kann nur der Benutzer (auch beliebig falsch 😉 ) entscheiden.

    Deswegen ist es nötig, das Menschen (Programmierer) ein Programm als Virus einstufen. Dann muß der Virenscanner ein Update bekommen. Diese suchen meistens nach genau der Codefolge die den Virus ausmacht. (eventuell wird auch nach Programmen gesucht die sich nur wenig unterscheiden. Dabei ist "wenig unterscheiden" sehr schwer zu definieren und einzubauen.)

    => Es reicht nen bekannten Virus mit nem anderen Compiler oder mit dem selben Compiler und anderen Optimierungseinstellungen neu zu Comilieren und die Virenscanner versagen.

    Zur eigentlichen Frage:
    "Wie effektiv sind Virenscanner die nach ihrem bilogischen Vorbild arbeiten?"
    Antwort: Nahezu 0.



  • Das Update eine Virenscanners ist vergleichbar mit einer Impfung eines menschen.

    Durch das hinzufügen von "Programm(code) signaturen" welche gefährlich sind, können diese erkennt werden. Durch die Impfung wird dem körper beigebracht welche zellen etc. gefährlich sind


Log in to reply