Hallo zusammen,

dieses Board war bereits in der Vergangenheit eine wertvolle Quelle, wenn es für mich darum ging mich mit etwaigen Würmern oä rumzuschlagen.

Daher wende ich mich an euch mit meiner Frage. Im Rahmen meines Studiums muss ich eine Arbeit über "Die sichere Erkennung von Viren" schreiben. Da ihr die Profis seid, wollte ich mal fragen, ob ihr gute Literatur (sozusagen "Geheimtipps") zu dem Thema kennt, die bei der Arbeit auf jeden Fall erwähnenswert wäre?

Vielen Dank schon vorab!

Hallo,

Zitat:

muss ich eine Arbeit über "Die sichere Erkennung von Viren" schreiben.

Eine sichere - was bedeuten soll 100%ige - Erkennung gibt es nicht.
Geht es bei dir nur ums Thema Schädlingserkennung oder noch andere, zB bzgl Sicherheitstipps?

Hey,

danke für die schnelle Antwort. Dass es keinen 100-prozentigen Schutz geben kann ist klar. Das wird wohl auch zwangsweise das Fazit der Arbeit

Ich bräuchte an sich Fachliteratur die die gängigen Virenerkennungsverfahren (Signaturverfahren, Heuristik oder Sandbox - wahrscheinlich gibts auch noch viel mehr als das) gut, bzw detailliert beschreibt.

Mir fiel da auf die schnelle der O'Reilly-Verlag ein, hab das was ergoogelt => www.oreilly.de/german/freebooks/sii2ger/ch10.pdf

Ich habs selber nur ganz kurz überflogen.

Was studierst Du und wie ist der Titel (Arbeitstitel), was soll das Ziel der Arbeit sein?

Hi, das O'Reilly Buch ist schonmal super! danke dafür

Ich studiere Wirtschaftsinformatik. Der Titel der Arbeit ist "Wie können Viren sicher erkannt werden". Ziel der Arbeit ist es diese Frage zu beantworten.

Ich habe den Link von Cosinus auch nur überflogen, denke aber das der Inhalt nicht Ziel Deiner Arbeit ist (korrigiere mich, wenn es anders ist).
Dort wird nach

Zitat:

• Kurze Geschichte der Malware
• In the wild – In the zoo
• Artenkunde
• Virenkalender
• Würmer
• Trojaner
• Spyware
• Bots und Botnets
• Vorsichtsmaßnahmen gegen
Malware
• Antiviren-Software
• Ausblick auf die weitere Entwicklung

geliedert.

Du willst aber wissen bzw. ausarbeiten, wie Viren sicher erkannt werden können.
Das Fazit, dass es keine 100% Erkennung geben kann ist ja schon gefallen.
Verschiedene Verfahren hast Du auch schon genannt

Zitat:

Signaturverfahren, Heuristik oder Sandbox

Wobei Sandboxing keine Funktion eines AV Programms ist, hier stellt sich mir die Frage, auf welcher Ebene Du von Virenerkennung sprichts.
Endanwenderebene oder Entwicklerebene?
Hast Du schon eine Gliederung?

So ich hab die Quelle jetzt auch durch und leider ist sie, wie auch der großteil der Literatur über virenspezifische Themen und wie auch BataAlexander schon geschrieben hat, sehr fixiert auf die Arten der Viren, nicht aber auf die Bekämpfung von Viren.

Das Limit was an den Umfang meiner Arbeit gesetzt ist (max 12 Seiten :/) erlaubt es mir nicht zu sehr in Details einzutauchen.

Gliederung wird daher wohl folgendermaßen aussehen:

1. Einleitung
2. Über Viren
2.1 Virenarten
2.2 Virengeschichte / Aktuelles über Viren (Grundlage um zu sagen "Viren werden zu schnell entwickelt/ abgeändert um sie hunderprozentig erkennen zu können)
3. Virenerkennung
3.1 Virenerkennung Nutzer
3.2 Arten der Virenerkennung bei Antivirenprogrammen
4. Fazit (100 %ige erkennung nicht möglich)

Es in Entwickler und Anwenderebene zu unterteilen will ich deshalb nicht in der gliederung niederlegen, es wäre aber ein Punkt, der auf jeden fall auch genannt werden sollte.

Mein Problem, weshalb ich mich an euch wende, ist eben das, dass die meiste Literatur lediglich Viren beschreibt :/

Virenerkenner ist halt kein Ausbildungsberuf *klugdummsei*

Viren werden von Programmieren geschrieben und auch wieder von solchen gelesen.
Für beide Seiten gibt es Tools, einerseits um die Programme zu schreiben und dann um Sie auch wieder zu lesen.
Einer der größten Unterschiede früherer Viren zu heutigen Viren ist der Punkt, dass diese meist von jedem Autor neu geschrieben wurden.
Heute passiert das an sich in gleichem Maß wie früher, allerdings gibt es innerhalb einer "Familie" Mutationen, diese werden zum großen Teil maschinell generiert und erzeugen somit eine enorme Bandbreite an Varianten innerhalb eines Stammes.
Gleichzeitig sinkt die Zeit, die ein Virus (nicht eine Familie) aktiv genutzt (in the wild) ist (vgl. Link).
Wie verbreiten sich Viren? Beantworte die Frage und Du weißt, wo du am sichersten auf Viren triffst um diese dann auseinander zunehmen.

1. Cracks
2. Keygens
3. Gehackte Software
4. Pornos
5. mp3s
6. ebooks
7. Bilder jedweder Art
8. Social Engineering

Über all diese Wege kommen Schadprogramme auf die Rechner.
Virenlabore, meistens von den AV Herstellern betrieben, besorgen sich also entsprechende Dateien und nehmen diese auseinander.
Heutzutage reicht dafür kein VM System mehr, das erkennen einige Programme. Die Dateien werden also auf präparierte Rechner gepackt und dann wird beobachtet was passiert wenn man sie startet (Netztraffic, Dateizugriff, Dateigenerierung, Registryzugriffe), was sie halt so machen.
Bei einigen Dateien müssen die Tester auch erst surfen und sich im "drive by" Verfahren, den Schädling einfangen.
Ein Exploit wiederum, ist an sich kein Virus oder ein Schadprogramm, es nutzt vielmehr Verhaltensweisen von Software unter bestimmten Bedingungen aus, die vom Programmierer nicht definiert sind.
Am Ende wird der Exploit Erzeuger dann ein anderes oder in den Exploit implementiertes Programm nutzen um sein Ziel zu erreichen.
Problematisch an der Thematik der Erkennung ist die schiere Anzahl an Schadprogrammen. Die Zahl der neu identifizierten Programme steigt momentan Exponentiell an (vgl. beispielhaft Link) .
Virenerkennung beim Nutzer, fängt schon bei der kritschen Frage nach der Herkunft der Dateien an. Protiert auf das Internet, die Frage, welches Domains man ansurft. Man könnte diese in eine gewisse "Datenhygiene" nennen. Da auch das schon mit Gehirnleistung zu tun hat, versagen hier leider viele Benutzer (Vgl. Link).
Nach dieser Herkunftsfrage bleibt dem Benutzer jetzt nur noch Gottvertrauen und seine Firewall, Antivirenprogramm und On Demand Scanner.
Die wenigsten werden eine dezidierte Firewall o.ö. Systeme haben (die auch nur der Verbeugung, denn der Erkennung dienen).
Wie ein AntiVirenProgramm nun Viren erkennt, dazu liest man bei Wikipedia nach, hast die wichtigsten schon genannt. Die Frage, warum pattern basierende Virenerkennung heute nicht mehr zeitgemäß ist, ist oben schon beantwortet worden.
Die Verfahren zur Verhaltens basierenden Erkennung stecken nicht mehr so ganz in den Kinderschuhen, ist aber noch in der Entwicklungsphase. (vgl Hips Hardware Systeme für Firmenanwendungen).
Die Situation im Bereich der Handyviren ist vergleichbar mit der Virensituation Anfang der 90er Jahre. Es gibt viele verschiedene Plattformen, keines hat eine beherrschende Stellung erreicht und innerhalb dieser Plattformen gibt es auch noch Diversifizierungen.
Sollte sich eine lohnende Möglichkeit ergeben mit Handys Geld durch Schadsoftware zu verdienen, wird es bald normal sein, auch ein AV Programm auf dem Handy zu haben. Die ersten Dialer tauchen schon auf (Vgl. Link).

Zitat:

3. Virenerkennung
3.1 Virenerkennung Nutzer

Sollte man vllt unterscheiden in "Vermeidung von Infektionen" siehe Sicherheitstipps zB bei Malte J. Wetz Online
Auch mal beachten die sehr kritische Btrachtungsweise von Virenscanner => Computersicherheit - Virenscanner

Und der andere Punkt wäre eine programmunterstützte Erkennung von Schädlingen bzw. virulenten Dateien.

- signaturbasierter Erkennung
- heuristische Erkennung
- "proaktiver Schutz" / Erkennung von Schädlingen an bestimmter Verhaltensmuster

Aber wo man da Fachliteratur herbekommen kann...
Wie genau sollen diese Verfahren beschrieben werden? So tief in die Materie wirds wohl nicht reingehen vermute ich mal, da die Hersteller der Virenscanner wohl kaum ihren Quellcode offenlegen

Hallo zusammen,

vielen Dank für die Antworten. Auf der Grundlage konnte ich auf jeden Fall schonmal ein ganzes Stück tiefer in die Materie einsteigen.

Leider kam damit auch die Erkenntnis, dass das, was Cosinus im letzten Satz gesagt hat mehr als wahr ist. Die Methoden im groben sind auf jeden Fall genau so, wie ihr sie beschrieben habt. Will man wirklich tief in die Materie einsteigen, so trifft man wohl relativ schnell auf die Mauern der Geheimhaltung der AV-Hersteller.

Ich denk mir bleibt nix anders übrig als das Thema ein bisschen weiter zu fassen.

Zitat:

Zitat von cliffmaster

so trifft man wohl relativ schnell auf die Mauern der Geheimhaltung der AV-Hersteller.

Ich denk mir bleibt nix anders übrig als das Thema ein bisschen weiter zu fassen.

Es gibt ja noch http://www.clamav.net/lang/en

Hehe geil danke!

oh mann manchmal sieht man den Wald vor lauter Bäumen nicht

Zitat:

Zitat von cliffmaster

Will man wirklich tief in die Materie einsteigen, so trifft man wohl relativ schnell auf die Mauern der Geheimhaltung der AV-Hersteller.

Meiner Meinung nach hat das tief hineinblicken, eher was mit Verständnis der Materie zu tun. Um das zu erlangen, benötigt man dann entweder viel Zeit und Muse oder ein IT Studium im Bereich Programmierung.

Es geht bei der Virenprogrammierung ja auch eher um das Herausfinden (Fuzzing) von Verhaltensproblemen.
Die Geheimniskrämerei fängt da bei einer Programmprogrammierung an und endet bei der Erkennungsprogrammierung. Die Grundsätze sind in beiden Fällen aber offen zugänglich.

Zitat:

Zitat von cliffmaster

oh mann manchmal sieht man den Wald vor lauter Bäumen nicht

Vielleicht passt das auch dazu:

Zitat:

Zitat von Schulte

hxxp://www.kaspersky.com/de/downloads/pdf/wp_de_antiviren-technologien_im_ueberblick_v1_0_0108.pdf

Gruß harlud