Virensignatur
-
Hallo Leute,
wie erkennt eigentlich ein Virenscanner einen Virus? Bei dem Antivir den ich habe brauche ich nur über die befallene Datei zu gehen und schon gibt es eine Fehlermeldung. Analysiert der Scanner in der kurzen Zeit die ganze Datei? Und vergleichert er sie dann mit einem anderen Hashwert?
Vielen Dank
-
das wüsste ich auch gerne mal ^^
denke hash würde gehen.. crc32 auch aber wie machen die des denn
-
Wenn ich ein Bit umlege gibts immer noch die Warnung. Gibt es einen effizienten Algo der über die laufenden zB. 1000 Bytes einen Hash bildet? Nach dem FIFO Prinzip: Ein Byte rein, letzte raus, Hash machen.
Oder wird die Exe nach einer bestimmten Zeichenfolge durchsucht? Bei den Millionen Viren muß es aber Millionen Zeichenfolgen geben nach der man die Datei durchsuchen muß.Stell ich mir beides alles andere als Effizient vor. Wie machen die das? Die Meldung "Virenbefall" ist ja sofort da?
-
Homeuser schrieb:
Gibt es einen effizienten Algo der über die laufenden zB. 1000 Bytes einen Hash bildet? Nach dem FIFO Prinzip: Ein Byte rein, letzte raus, Hash machen.
ja, XOR
wenn der alarmschlägt kann man ne md5 suche machen und danach noch genauere checks, dann weiß man, dass dort ein virus ist.
übrigens gab's als erstes dieses "mouseover" feature in einem virus, jede datei die vom explorer "gecheckt" wurde, wurde danach gleich infiziert.
klasse virus
rapso->greets();
-
Sowas hatten wir mal in der Schule. Aber da war der Hashwert von den vorherigen Bits abhängig. Wenn man das erste Bit in der Datei verändert war auch der XOR Hash anders. Aber so kann es doch nicht funktionieren. Oder meinst Du etwas anderes?