Virenerkennung mit Sophos Anti-Virus Christoph Singer 16.04.2017
Agenda Virus Detection Engine Sophos Anti-Virus InterCheck Prüfsumme Überprüfung anderer Objekte Virenüberprüfung Virenerkennungsmethoden Virenbeschreibungen VDL und Virenerkennungsdateien 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Virus Detection Engine Basiert auf einzelnen abgeschlossenen Dynamic-Libraries. Verfügt über: Einen Code-Emulator Einen Online-Dekompressor Eine OLE2-Engine 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Sohos Anti-Virus I 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Sophos Anti-Virus II 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Sophos Anti-Virus III 16.04.2017 christoph.singer@rrze.uni-erlangen.de
InterCheck Es wird jede Datei, während auf sie zugegriffen wird, gefiltert und nur die Dateien zur Überprüfung an die Engine geschickt, die möglicherweise einen Virus enthalten. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Prüfsumme Die Prüfsumme wird durch einen sicheren Algorithmus aus der Bytereihenfolge einer Datei erzeugt. Unterscheiden sich die Prüfsummen, oder ist noch keine Prüfsumme vorhanden, wird eine Kopie der Datei an die Engine zum Überprüfen geschickt. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Überprüfung anderer Objekte Datenträgerüberprüfung InterCheck fängt die Datei, auf die zugegriffen wird, ab und schickt sie zur Überprüfung. E-Mail-/Internet-Überprüfung Die meisten Browser speichern den Inhalt einer Webseite und Emails auf der Festplatte zwischen. Beim Speichern wird eine Kopie von InterCheck zur Überprüfung an die Engine geschickt. Bootsektorüberprüfung Wird nach dem Booten auf einen Datenträger zugegriffen, wird automatisch dessen Bootsektor auf Viren überprüft. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Virenüberprüfung Die Virenprüfung wird durch 2 Komponenten geregelt Classifer Virendatenbank Über das Konfigurationsfenster kann man bestimmte Dateitypen für die Überprüfung entfernen und neue hinzufügen. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Virenerkennungsmethoden Übereinstimmung von Mustern Die Engine kennt die jeweilige Codefolge und sucht nach einer genauen Übereinstimmung, die den Virus identifiziert. Heuristik Bei der Heuristik werden statt bestimmten Regeln allgemeine Regeln zur Virenerkennung verwendet. Die Datei wird nach Code durchsucht der dem bekannter Viren ähnlich ist. Emulation Das Emulationsverfahren wird bei polymorphen Viren angewendet. Die zu überprüfenden Programme werden in einem Emulator gestartet, der die Entschlüsselung des Virenstamms speichert, wenn dieser in den Speicher geschrieben wird. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Virenbeschreibungen Analyse einer verdächtigen Datei Der Virus wird repliziert und die Replikanten auf Standard-“Goat“ Dateien gestartet. Der Code wird analysiert. Es wird eine Virenerkennungsdatei erzeugt. Die Funktionsweise der Erkennungsdatei wird auf allen Plattformen und unter allen Bedingungen getestet. Beispiel für eine Virenbeschreibung Name: #Bleah-C ; Bleah-c, cmg970206 Segmentstart: { ;MBR,DBR <identity code inserted here> Segmentende: } Virentyp: W { MRIi } Muster: P { bb00 0283 f901 757b 0af6 7577 3d01 0374 593d 0102 756d 9cff } Datum: D { Nov 1996 } 16.04.2017 christoph.singer@rrze.uni-erlangen.de
VDL und Virenerkennungsdateien VDL (Virus Description Language) Die Beschreibung aller Viren werden in die VDL.DAT Datei geschrieben, welche jeden Monat neu erstellt wird. Die VDL.DAT ist komprimiert und verschlüsselt. IDEs IDEs enthalten in einfachem ASCII-Format kodierte VDL für einen Virus oder eine Virenfamilie. Sie ermöglichen die Erkennung und Desinfektion des entsprechenden Virus oder der Virenfamilie bis die nächste VDL.DAT erstellt wurde. 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Quellen / Kontakt Quellen: Kontakt: Sophos White Paper christoph.singer@rrze.uni-erlangen.de 16.04.2017 christoph.singer@rrze.uni-erlangen.de
Vielen Dank für Ihre Aufmerksamkeit! 16.04.2017 christoph.singer@rrze.uni-erlangen.de