Antivir
 

Moin,
da ich wieder Zeit und auch Lust habe ein bisschen über Viren/Antiviren/Hackerszene zu philsophieren, Dacht ich mir das ich wieder einen kleinen Einblick gebe.

Das Thema was ich mir ausgesucht habe: Antivirenprogramme

Was sind Antivirenprogramme?

Nunja, der Name verrät viel. Anti also Gegen Viren. Es überprüft laufende Programme und PC's nach schädlichem Codé. Doch wie kann man sich das Vorstellen? Wie arbeitet ein AVP, wo sind die Schwierigkeiten, und warum schaffen es neue Exploits(Sprich Erste Ausnutzung einer Sicherheitslücke) immer wieder diese Schutzmauer zu durchbrechen?

Welche Funktionen erfüllen AVP?

1) Echtzeitscannung:
Programme führen Code aus. Jedes Programm hat Quelltext der nacheinander ausgeführt wird. Dieser wird nach Schadhaftem Code durchforstet und gegebenfalls blockiert. Zur Erkennung später mehr

2) Windows-API Vergleich:
In der Windows-API laufen alle Dienste die für den Reibungslosen Ablauf von Programmen zuständig sind. Diese Dienste kommen nicht irgendwoher sondern stehen logischerweiße auf der Festplatte.
Nun vergleicht der AVP die API mit der Festplatte. Sollten Dienste auftauchen die auf dem Hard Drive stehen, jedoch nicht in der API ist die Gefahr auf ein Rootkit gegeben

3) Zielscannung:
Hier werden Ordner durchsucht die Kritische Stellen darstellen. Typische Ordner hierfür sind all die, die hohe Rechte benötigen um ihre Funktion zu erfüllen. Ein Beispiel hierfür wäre auf der Bootpartition der Ordner System32.
Viren versuchen sich dort durch Täuschung bzw. durch Tarnung mit hohen Berechtigungen (z.B. Schreiben,Löschen) ausführen zu lassen.
Um das zu verhindern wird jedes Programm nach sogenannten Signaturen druchforstet.

Wie findet ein AVP überhaupt Viren?

Ein Virenprogramm kämpft gegen die Viren und verteidigt das Herzstück jedes PC's mit Abwehrmaßnahmen, drängt Sie immerwieder zurück und verbannt sie in der Qurantäne. Wohl kaum.
Es läuft extrem Simpel ab, simpler als die meisten vielleicht denken.
Ein AVP arbeitet hauptsächlich mit sogenannten Signaturen. Sie beinhalten eine Information über Schädlichen Code. Wird dieser Code wieder gefunden wird er mit der Datenbank verglichen und gegebenfalls blockiert.

Woher bekommt man Signaturen?

Wer auf die AVP-Technik gekommen ist braucht Sicher keinen Hochschulabschluss. Vermutlich reicht es aus wenn man seinen Namen tanzen kann.
Signaturen stammen aus den Viren. Neue Viren die entdeckt werden, werden komprimiert in Signaturen abgespeichert, und diese dienen dann zur Erkennung.
Heißt im Umkehrschluss: Sobald eine neue Lücke auftritt die nicht bekannt ist, sind wir auch mit dem besten AVP aufgeschmissen.
Wie in der echten Medizin wird der Schadstoff extrahiert und als Gegenmittel eingesetzt.
Daher gibt es auch kaum Unterschiede bei den führenden AVP-Herstellern.

Neben den "bösen" Hackern gibt es auch "gute" (wow..) Hacker. Diese versuchen vorhande Systeme zu brechen, und dort neue Exploits aufzudecken.

Was ist der beste Schutz?

Simpel: AVP Firewall, hohe Richtlinien
Kompliziert: Wer wirklich sich schützen möchte und seine Daten nicht an jedem Scriptkiddi andrehen will sollte sich zumindestest Oberflächlich mit der Materie auskennen. Wer nicht weiß wo Angegriffen wird kann sich nicht schützen.


So nun genug zu dem Thema. Fragen? Fragt. Kritik? Kritisiert.

Kommentare ala "Oh man hast du zuviel Zeit" könnt ihr euch gerne Ersparen, falls ihr so denkt macht mich das glücklich das ich euch eure Zeit rauben konnte indem ihr das hier gelesen habt.

Was interessiert euch noch rundum Technik und Computer?
Ich gebe gerne eine Kleine Information dazu :)

Grüß
Br0di

Oh man hast du zuviel Zeit ? :P

herzlichen danke lese sowas immer gerne ;)

Die "bösen" Hacker werden Cracker genannt.

Wo du recht hast, hast du recht. Eigentlich gibt es keine "Hacker" sie heißen
"Cracker" nur weil irgendwann mal jemand Hacker gesagt hat, sagt das nun jeder.

http://de.wikipedia.org/wiki/Cracker...utersicherheit)

*Daumen hoch*

Sag mal wie legt Anonymous eig. Server lahm und wie können keine/kaum(??) Firmen was gegen sie machen?

mit einer ddos attacke werden die Server einfach überlastet mit Anfragen so das die Server zusammenbrechen ;)

Die tun sich alle zusammen und dann gehts ran..

Um solche Seiten down zu machen, wie die des tun, reicht nicht 1 Mensch aus.
Da sitzen viele Leute von starken Netzen die dann alle da angreifen, aufgrund der Überlastung bricht die Seite dann zusammen. Um jetzt so kleine Seiten wie z.B. Terrokom down zu machen, reichen auch nen paar Leutchen :P

Virenscanner arbeiten schon länger nicht nur ausschließlich mit Signaturen.

Es gibt auch die "proaktive Erkennung", d.h. dass nicht einfach nur die bekannten Signaturen abgeglichen werden, sondern alle Dateien auf ihr Verhalten geprüft werden und dementsprechend reagiert wird. So können auch neue Viren ohne Signatur erkannt werden.

Auch wird die Community mit eingezogen, so wird beim scannen die Verbreitung und die Bewertung anderer Benutzer miteinbezogen. So können auch neue Viren schneller gefunden werden, obwohl es keine passenden Signaturen gibt.

Selbst wenn man im Internet surft scannen einige Virenscanner schon die Seite im Voraus, bevor die Seite komplett geladen wurde.

Gibt wahrscheinlich noch einige andere Methoden, aber das waren jetzt mal 3 Punkte die mir auf die schnelle eingefallen sind. :p

http://www.youtube.com/watch?v=wXqVxEhGQc0

Diese regelmäßigkeiten Arbeiten aber auch nicht mit KI sondern mit abgleichen, im Enteffekt Kernelemente aus vielen Signaturen


viele Virenscanner fragen einfach von Servern ab, ob diese Seite Trusted ist oder nicht.

Hacken = (unerlaubtes) Eindringen
Hacken ist somit einfach nur eingedeutscht.
Ob böse, Cracker, oder Blackhead kommt dann wohl aufs gleiche raus :p, aber ja du hast recht

Ich weiß ich bin pingelig, aber das stimmt so nicht :D
Die letzten Angriffe von Anonymous wurden vermutlioch auch nicht von 5600 Personen gestartet, sondern via eines Skriptviruses gestartet
Stichwort:Botnetz

DDoS. Wenn rechner "reden" senden sie Pakete.
Wenn viele Rechner auf einmal Pakete senden kann der, der alle Pakete empfängt nichtmehr schnell genug auf alle Pakete Antworten.
Bekommt er zuviele Anfragen läuft der Speicher voll und aus Sicherheitsgründen schaltet die Netzwerkkarte und damit die IP der Webside z.B. ab. Folge Side down

Wie kann man sich wehren?
DDoS stellen wohl das größte zu Bekämpfende Problem im Netz dar.
Jede Internetseite hat eine öffentliche IP, die jeder lesen kann. Somit ist es extrem leicht Ziele auszumachen und zu starten.

Außerdem ist auf dem heutigen Stand der Software nur noch 1 Knopf zudrücken der dann 1000te Anfragen pro Minute sendet
Nennt sich LOIC wurde auch von Anonymous verwendet

http://de.wikipedia.org/wiki/Low_Orbit_Ion_Cannon

http://sourceforge.net/projects/loic/

Das gezielte Anpingen und überlasten von Servern ist verboten, so dont Fire your Lazaaah! ;)