Kefk Network :  Security |  About  |  Wiki Changelog | Index | Inhalt | Site Map | Suchen.
安
å…¨		   Angriffe | Computersicherheit | Forensik | Grundlagen | Labor | Malware | Netzwerksicherheit | Physikalische Sicherheit | Praxis | Prozesse | Ressourcen | Sicherheitskonzept | Sicherheitsrichtlinien | Tools | Verschlüsselung | Zertifizierungen | Ziele.

 

Aufbau von Computerviren

Ihr Benutzername: Besucher
Wer ist gerade online? - 1 aktive User.

Erstellt/bearbeitet: 30-Sep-2005/09-Jan-06
Systemzeit: Donnerstag, 21.08.2008, 00:20:38.

Kefk Network : Security : Malware : Viren : Aufbau

Ãœbersicht

Computerviren haben viele unterschiedliche Formen, darum ist es nur schwer möglich zu beschreiben, wie ein Virus grundsätzlich aufgebaut ist. Die folgende Erklärung ist keineswegs ein Standard für alle Viren. Andere Viren können mehrere Funktionen haben, andere wiederrum weniger.

  • Entschlüsselungsroutine: Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder zur Ausführung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind. Oft wird die Entschlüsslungsroutine der Viren von Antiviren-Herstellern dazu benützt, den Virus zu identifizieren, da dieser Teil oft klare erkennbar ist.
  • Vermehrungsteil: Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige Teil, die jeder Virus hat (Definition).
  • Erkennungsteil: Im Erkennungsteil wird geprüft, ob bereits die Infektion eines Programms oder Systembereichs erfolgte. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil wird von den fast allen nicht-überschreibenden Computerviren benützt.
  • Schadensteil: Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund für die Angst vieler Menschen vor Computerviren.
  • Bedingungsteil: Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Die Ausnahmen lassen den Schaden bei jeder Aktivierung laufen, oder in ganz seltenen Fällen, gar nicht laufen. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem bestimmten Datum ausführen, oder bei bestimmten Systemvorraussetzung (Anzahl der Dateien, Größe des freien Speicherplatzes, ect.), oder einfach zufällig.
  • Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann den Virus zum Beispiel verschlüsseln, oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz vor Erkennung durch Anti-Viren Herstellern. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt werden können (z.B.: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Archillesferse eines Virus

Damit ein Virenscanner einen Virus identifizieren kann, benötigt er dessen Signatur. Ein Virus versucht ein System zu infizieren und dies geschieht z.B. bei einem Linkvirus durch das Anhängen an ein bestehendes Programm. Dabei muss er (abgesehen von überschreibenden Viren) zuerst prüfen, ob er dieses Programm bereits infiziert hat - sprich er muss in der Lage sein, sich selbst zu erkennen. Würde er dies nicht machen, könnte er ein Programm theoretisch beliebig oft infizieren, was auf Grund der Dateigröße und der CPU-Belastung sehr schnell auffallen würde. Dieses Erkennungsmuster – die Signatur – kann unter gewissen Umständen auch von Virenscannern genutzt werden, um den Virus zu erkennen. Polymorphe Viren sind daher in der Lage mit verschiedenen Signaturen zu arbeiten, die sich verändern können, jedoch stets einer Regel gehorchen. Daher ist es den Herstellern von Virensoftware relativ einfach und schnell möglich, einen neuen Virus nach dessen Bekanntwerden zu identifizieren.

Viele Viren benutzen anstatt von polymorphen Signaturen sehr kleine Kennzeichnungen, wie zum Beispiel ein ungenutzes Byte im PE-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele "false positives" geben würden. Für einen Virus ist es jedoch kein Problem, wenn er unter ungünstigen Verhältnissen einige Dateien nicht infiziert.

Literatur

Zur Quellenlage: Die meisten Bücher zum Thema sind inzwischen veraltet und/oder nicht mehr erhältlich.

Das große Computer-Viren-Buch, Ralf Burger, 1989, ISBN 3890112005

Computer-Viren-Report, Prof. Dr. Klaus Brunnstein, 1989, ISBN 3809205303

Virus: Detection and Elimination, Rune Skardhamar, 1995, ISBN 012647690X

The Giant Book of Computer Viruses, Mark A. Ludwig, 1998, ISBN 0929408233

The Art Of Computer Virus Research And Defense, Peter Szor, 2005, ISBN 0321304543

Quelle und Lizenz

Textquellennachweise:
Ein Teil dieses Textes basiert auf einem Artikel aus Wikipedia, der freien Enzyklopädie.
Artikel | Bearbeiten | Diskutieren | Drucken | Versionen | Autoren | Backlinks.
Stand: 14:50, 30. Sep 2005 (Permalink).
Lizenz: GNU Free Documentation License.
Bildquellennachweise:
  • Promotionmaterial © Amazon.de.

Anmerkungen

Forum: Hardware für Linux (Anmerkungen in diesem Forum: 16)

Neue Anmerkung verfassen
Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren
Blättern: << Anfang | < Zurück | Weiter > | Ende >>
DaferDaferSep 26, 16:31
LerLerSep 26, 16:31
DaferDaferSep 26, 16:30
DaferDaferSep 26, 16:30
FitralFitralSep 26, 16:12
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
LerLerSep 26, 16:11
DaferDaferSep 26, 16:11
Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.
Aufbau
Nach oben
Wer ist online?:
Ihr Name: Besucher (nicht angemeldet).
Online: 1 aktive User.
Anmelden | Abmelden
Monitoring:
Benachrichtigen bei Änderungen:


blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Amazon.de:
blind_150.gif (1x1 -- 825 bytes)
Praxisbuch Sicherheit für Linux-Server und -Netze.
von Barbara Oberhaitzinger, Helmar Gerloni u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 34,90
(versandkostenfrei)
Das Firewall Buch.
Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux.
von Wolfgang Barth

EUR 44,90
(versandkostenfrei)
Firewalls und Sicherheit im Internet.
von William R. Cheswick, Steven M. Bellovin u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Security. Das Grundlagenbuch.
von Mathias Hein, Michael Reisner u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Microsoft Windows Sicherheit.
Das Praxisbuch.
von Tobias Weltner und Kai Wilke

amazon_small.gif (55x15 -- 576 bytes)EUR 49,90
(versandkostenfrei)
Suchen in:
Suchen nach:
Antivirus-Infos:

blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Kefk Network:
blind_150.gif (1x1 -- 825 bytes)
Thematisch verwandte Subsites: BSD, GNU/Linux, Hardware, Internet, Networking, Safety, Webworking, Windows.

Kefk Network Home
blind_150.gif (150x5 -- 825 bytes)
Hacker Emblem glider.png (55x55 -- 724 bytes)

 

Weiter ]

URL: http://www.kefk.net/Security/Malware/Viren/Aufbau/index.asp.
Translate this page with Google to 
Website | Changelog | Index | Inhalt | Site Map | Suchen | Wer ist online?.
Ergänzungen, Fragen und Kommentare: Kontakt | Foren | Wiki.
E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//".
Alle Inhalte dieser Subsite sind, sofern nicht anders gekennzeichnet, © 2003-2005 Agon S. Buchholz.
Copyright | Credits | Disclaimer | Impressum.