Antivirus-Software ist ein Programm, das Computer, Notebooks und andere Geräte vor Malware schützt. So funktionieren sie
Es ist immer schwieriger geworden, sich vor all den Schadprogrammen zu schützen, die sich im Netz verstecken. Eine Waffe, die auf keinem Gerät fehlen sollte, ist Antiviren-Software, insbesondere auf Computern und Notebooks, die bekanntermaßen anfälliger sind als Tablets und Smartphones. Sie arbeiten unauffällig und verhindern, dass Malware auf das Gerät gelangt.
Der Nutzer muss nur ein solches Programm finden und installieren - den Rest erledigt das Antivirenprogramm für ihn. Die Schutzprogramme dienen der ständigen Kontrolle der Maschine. Wir können sie uns als virtuelle Tore vorstellen, die sich öffnen, um nur legitime Dateien durchzulassen, schädliche zu blockieren und verdächtige zu isolieren. Ohne ein Antivirenprogramm wäre ein Rechner Trojanern, Würmern und anderer Malware ausgeliefert. Ein Computer ohne Schutzschild ist wie ein Haus ohne Türen. Und ein Haus unbeaufsichtigt zu lassen, bedeutet, sich zahlreichen Gefahren auszusetzen.
Nachdem wir nun die wichtige Aufgabe von Antiviren-Software verstanden haben, ist es auch sinnvoll, sich zu fragen, wie diese Sicherheitsprogramme funktionieren. Wie schützen sie uns vor Hackern?
Wie funktioniert ein Antivirus
Allgemein kann man sagen, dass Antivirenprogramme jede Datei oder jedes Programm analysieren, das in das System eindringen will. Die Elemente werden mit den so genannten "Virensignaturen" verglichen, einem Archiv von Signaturen, in dem Informationen über die Malware gespeichert sind.
Wenn die Datei mit den Definitionen im "Aktenschrank" übereinstimmt, wird sie vom Antivirus blockiert.
Die anderen hingegen werden durch das erste Tor gelassen und in einen anderen "Sicherheitsraum" geleitet, der in einigen Firewalls und Antivirenprogrammen vorhanden ist: das Host Based Intrusion Prevention System (HIPS). Was geschieht in diesem Bereich? Einfach. Zuverlässige Programme werden im System verteilt, während Dateien, die dem Antivirus nicht bekannt sind, eine Art vorübergehende "Freigabe" erhalten: Sie laufen auf dem Computer, aber nur in isolierten "Umgebungen". Es liegt dann im Ermessen des Benutzers, ob er die Türen der Maschine für diese Programme öffnet oder sie für immer schließt. Im letzteren Fall landen die Dateien wie andere Malware in der Quarantäne.
Analysetechniken
Wie bereits erwähnt, führt Antivirensoftware kontinuierliche Echtzeit-Scans durch und durchsucht das gesamte "Gebiet". Das Hauptangriffsmittel ist, wie wir gesehen haben, Malware. Deshalb ist es sehr wichtig, Antivirensoftware auf dem neuesten Stand zu halten: Ein veraltetes Signaturarchiv kann neue Malware nicht blockieren.
Es gibt auch andere Untersuchungstechniken. Eine beliebte Methode ist die Heuristik, die in der Regel in Verbindung mit "Virensignaturen" arbeitet. Was ist das? Es wird verwendet, um bösartigen Code zu erkennen, der dem Antivirusprogramm nicht bekannt ist. Mit dieser Technologie analysiert das Schutzprogramm eine verdächtige Datei in einer vom System isolierten virtuellen Zone. Auf diese Weise riskiert eine gefährliche Datei nicht, den gesamten Rechner zu infizieren.
Dann gibt es noch die Technik der Verhaltensanalyse, d. h. das Programm erkennt Malware, indem es ihr "Verhalten" untersucht, während sie ausgeführt wird.
Eine der fortschrittlichsten Untersuchungslösungen ist das Data Mining, das die Datei durch Extraktion von Teilen des Binärcodes analysiert. Eine weitere Analysemethode ist das Sandboxing: Verdächtige Dateien werden in einer virtuellen Umgebung ausgeführt, in der das Antivirusprogramm herausfinden kann, ob sie bösartig sind oder nicht.