Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
10 2 Begriffe, Konzepte und Verfahren<br />
Bei dynamischer Erkennung wird der zu untersuchende Objektcode in einer sicheren<br />
Umgebung ausgeführt, um durch Verhaltensanalyse Rückschlüsse auf eine Infektion<br />
durch <strong>Malware</strong> ziehen zu können (beispielsweise durch maschinelles Lernen [38]). Eine<br />
sichere Umgebung kann zum Beispiel durch Sandboxing ([64], [5]) oder Emulation<br />
bereitgestellt werden [7]. Moderne Antivirenprogramme implementieren immer häufiger<br />
Verfahren zur dynamischen Erkennung [48].<br />
Die Ausrichtung dieser Arbeit liegt in der Generierung von Signaturen <strong>für</strong> die statische<br />
Erkennung (siehe Kapitel 3), daher wird die dynamische Erkennung nicht weiter<br />
betrachtet.<br />
2.3.1 Scanner<br />
Zentrale Komponente eines Antivirenprogramms ist der Scanner, der die Dateien des<br />
Rechensystems auf das Vorhandensein von Schadprogrammen überprüft. Grundsätzlich<br />
wird nach Art des Aufrufs zwischen zwei Arten von Scannern unterschieden:<br />
Bei Zugriff Ein Zugriffsscanner (engl. on-access scanner) wird kontinuierlich im Hintergrund<br />
ausgeführt und überprüft jeden Zugriff auf eine Datei. Da dieser Ansatz<br />
einen negativen Einfluss auf die Antwortzeiten des Rechensystems haben kann,<br />
erlauben einige Scanner die Überprüfung auf bestimmte Dateitypen oder Zugriffsarten<br />
einzuschränken (zum Beispiel nur auf ausführbare Dateien oder nur auf<br />
lesenden Zugriff).<br />
Auf Anforderung Anforderungsscanner (engl. on-demand scanner) werden vom Benutzer<br />
selbst aufgerufen. Da die meisten Scanner eine Datenbank bekannter Bedrohungen<br />
nutzen, ist ein manueller Aufruf der Überpüfung beispielsweise sinnvoll, wenn<br />
eine neuere Version dieser Datenbank installiert wurde. Ferner ist ein Scan auf<br />
Anforderung sinnvoll, um aus Netzwerken heruntergeladene Dateien oder als<br />
infiziert vermutete Rechensysteme zu überprüfen. 9<br />
Moderne Antivirenprogramme bieten beide Aufrufarten an; auf Arbeitsplatz- und Heimcomputern<br />
kommen meist Zugriffsscanner zum Einsatz, da <strong>für</strong> diese nur minimale<br />
Benutzerinteraktion erforderlich ist.<br />
Wird ein Schadprogramm erkannt, so wird dies dem Benutzer in Form eines Alarms<br />
9 Die Überprüfung oder Bereinigung eines infizierten Rechensystems sollte stets von bekannt nicht-infizierten<br />
Startmedien oder Rechensystemen aus erfolgen, um die Ergebnisse nicht durch getarnte <strong>Malware</strong> zu<br />
verfälschen.