Erkennungsmethoden |
Alle Antivirusprogramme von Doctor Web setzen gleichzeitig mehrere Entdeckungsverfahren von schädlichen Objekten ein. Dies ermöglicht es, dass alle verdächtigen Dateien sorgfältig durchsucht werden. Entdeckungsverfahren von Bedrohungen Signaturanalyse Dieses Verfahren wird als Erstes eingesetzt. Bei dem Verfahren wird der Inhalt des zu analysierenden Objekts überprüft, um festzustellen, ob das Objekt Signaturen der bereits bekannten Bedrohungen enthält. Die Signatur ist eine kontinuierliche endliche Sequenz von Bytes, die eine bestimmte Bedrohung eindeutig identifiziert. Dabei wird der Inhalt des analysierten Objektes mit den Signaturen nicht direkt, sondern anhand von deren Prüfsummen verglichen. Dadurch wird die Größe der Signaturen in den Virendatenbanken wesentlich verringert. Die Übereinstimmung dabei ist eindeutig: Bedrohungen werden korrekt erkannt und infizierte Objekte werden desinfiziert. Virensignaturen in Virendatenbanken von Dr.Web werden so präzise erstellt, dass anhand einer einzigen Signatur mehrere Klassen oder Familien von Bedrohungen erkannt werden können. Origins Tracing Einzigartige Technologie von Dr.Web, die zur Entdeckung von neuen und modifizierten Bedrohungen dient, die bereits bekannte und in den Virendatenbanken beschriebene Infizierungsmechanismen oder schädliches Verhalten benutzen. Dieses Verfahren wird nach Abschluss der Signaturanalyse durchgeführt und schützt die Benutzer der Antivirus-Lösungen von Dr.Web vor solchen Bedrohungen wie z.B. Trojan.Encoder.18 (der auch unter dem Namen „gpcode“ bekannt ist). Weiterhin ermöglicht es Origins Tracing, die Anzahl der Fehlauslösungen der heuristischen Analyse zu reduzieren. Zu den Namen von Bedrohungen, die mit Hilfe von Origins Tracing erkannt werden, wird die Endung .Origin hinzugefügt. Emulation Die Emulationsmethode zur Ausführung des Programmcodes wird zur Entdeckung von polymorphen und verschlüsselten Viren eingesetzt, wenn die Suche nach Kontrollsummen von Signaturen unmöglich oder wesentlich komplizierter ist als die Erstellung zuverlässiger Signaturen. Das Verfahren basiert auf der Imitation der Ausführung des zu analysierenden Codes durch den Emulator – ein Simulationsmodell des Prozessors und der Ablaufumgebung. Der Emulator operiert mit einem geschützten Speicherbereich (Emulationsbuffer). Dabei werden die Anweisungen zur Ausführung dem zentralen Prozessor nicht übermittelt. Wenn der durch den Emulator behandelte Code infiziert ist, wird der ursprüngliche schädliche Code wiederhergestellt, der für die Signaturanalyse geeignet ist. Das Prinzip der heuristischen Analyse basiert auf einem Satz von Heuristiken (Vermutungen, deren statistische Signifikanz empirisch bewiesen ist) über kennzeichnende Merkmale eines schädlichen sowie eines zuverlässigen ausführbaren Codes. Jedes Merkmal besitzt einen bestimmten Punktwert (eine Zahl, die Wichtigkeit und Zuverlässigkeit dieses Merkmales anzeigt). Der Punktwert kann positiv sein, wenn das Merkmal auf schädliches Verhalten des Codes hindeutet. Der Punktwert ist negativ, wenn das Merkmal für die Computerbedrohungen nicht kennzeichnend ist. Aufgrund des Gesamtwertes, der den Inhalt des Objektes kennzeichnet, wird die Wahrscheinlichkeit des Vorhandenseins eines unbekannten schädlichen Objektes darin mittels der heuristischen Analyse festgestellt. Wenn diese Wahrscheinlichkeit einen bestimmten Grenzwert übersteigt, wird festgestellt, dass das analysierte Objekt schädlich ist. Bei der heuristischen Analyse wird auch die Technologie FLY-CODE verwendet. Es ist ein allgemein einsetzbarer Algorithmus zur Entpackung von Dateien. Dieses Verfahren ermöglicht es, die heuristischen Vermutungen über das Vorhandensein der schädlichen Objekte in Objekten, die mit einem Packprogramm komprimiert wurden, anzustellen. Es handelt sich dabei nicht nur um Packprogramme, die den Dr.Web Softwareentwicklern bekannt sind, sondern auch um neue Programme, die noch nicht erforscht sind. Bei der Durchsuchung der verpackten Objekte wird auch das Verfahren zur Analyse ihrer Strukturentropie eingesetzt. Diese Technologie erlaubt es, die Bedrohungen nach strukturellen Besonderheiten ihres Codes zu entdecken. Mit dieser Technologie können unterschiedliche Bedrohungen, die mit dem gleichen polymorphen Packer gepackt wurden, anhand von einem Eintrag in der Virendatenbank erkannt werden. Da die heuristische Analyse ein System zur Hypothesenprüfung unter Unbestimmtheitsbedingungen ist, können dabei Fehler sowohl der ersten (Nichterkennen der unbekannten Bedrohungen) als auch der zweiten Art (ein sicheres Programm wird als ein Schadprogramm beurteilt) auftreten. In diesem Zusammenhang erhalten die bei der heuristischen Analyse als „schädlich“ markierten Objekte den Status „verdächtig“. Bei einer beliebigen Prüfung werden die aktuellsten Informationen über bekannte Schadprogramme von allen Dr.Web Antivirus-Komponenten verwendet. Die Virensignaturen, die Informationen über ihre Merkmale und Verhaltensmodelle werden sofort aktualisiert und den Virendatenbanken hinzugefügt, wenn Experten aus dem Virenlabor von Doctor Web neue Bedrohungen entdecken (manchmal kann dies mehrmals pro Stunde passieren). Selbst wenn das neueste Schadprogramm trotz des residenten Schutzes von Dr.Web in den Rechner eindringt, wird dieses in der Prozessliste angezeigt und nach der Aktualisierung der Virendatenbanken neutralisiert. |