Land auswählenDie beste Methode, zu einer proaktiven Virenschutzlösung zu kommen, besteht darin, eine verdächtige Datei in einer sicheren Umgebung auszuführen. In anderen Worten - lassen Sie den Virus einfach das tun, was er tun will.
 |
Auf diese Weise wird jede unbekannte und verdächtige Datei, die sich auf Ihrem Computer „niederlassen“ möchte, isoliert und daran gehindert, Ihr System während der Analyse zu infizieren. Wenn der Virus seine Aktivitäten entfaltet, überwacht und analysiert die proaktive Lösung das Verhalten der verdächtigen Datei.
Auf Basis der Analyse entscheidet das System, ob die Datei unter Quarantäne gestellt wird, oder ob sie im echten System gespeichert werden darf. Ein solches Vorgehen ist auf einem realen System kaum durchführbar.
Unter Umständen müssen viele Betriebssystemeinstellungen geändert werden, bevor ein potenzieller Virus freigesetzt wird (da Viren häufig bestimmte Einstellungen wie Datum und Uhrzeit, Versionsnummer, Sicherheitseinstellungen, Systemverzeichnis usw. voraussetzen). Bei Verwendung eines realen Systems wären viele Änderungen und höchstwahrscheinlich einige Neustarts erforderlich. In Kürze: Ein solches Vorgehen wäre überaus zeitaufwändig und sehr ineffizient.
Um bei effizienter Nutzung der Systemressourcen in einem akzeptablen Zeitrahmen zu bleiben, ist ein separates Modul (SandBox) mit eigenem Betriebssystem erforderlich. Norman SandBox wird als Bestandteil des Norman-Virenprüfprogramms ausgeführt und ist mit Windows-Funktionen wie Winsock, Kernel und MPR kompatibel. Netzwerk- und Internetfunktionen wie HTTP, FTP, SMTP, DNS, IRC und P2P werden ebenfalls unterstützt.
In anderen Worten: Wir reden über einen vollständigen, simulierten Computer, der sich in einem isolierten Bereich auf dem realen Computer befindet und Teil des Norman-Virenprüfprogramms ist - es besteht keinerlei Bedarf an zusätzlicher Hardware!
Der Simulator nutzt ROM BIOS-Kapazitäten, simulierte Hardware, simulierte Festplatten usw. Er emuliert sämtliche Ladeprozesse, die beim Starten eines regulären Systems durchgeführt werden, indem er die Betriebssystemdateien und die Befehlsshell vom simulierten Laufwerk lädt. Dieses Laufwerk enthält Verzeichnisse und Dateien, die unverzichtbarer Bestandteil des Systems sind und den Systemdateien auf physischen Festplatten entsprechen.
Die verdächtige Datei wird auf der simulierten Festplatte abgelegt und in der simulierten Umgebung ausgeführt. Die verdächtige Datei „weiß“ nichts davon, dass sie in einer simulierten Welt operiert ...
Innerhalb der simulierten Umgebung darf die Datei tun, was immer sie möchte. Sie kann Dateien infizieren. Sie kann Dateien löschen. Sie kann Kopien in Netzwerken verteilen. Sie kann sich mit einem IRC-Server verbinden. Sie kann E-Mail-Nachrichten versenden. Sie kann Ports zur Überwachung einrichten. Sämtliche Aktionen werden vom Antivirenprogramm registriert, da sie tatsächlich vom Emulator auf Basis des in der Datei enthaltenen Codes ausgeführt werden. Auf dem echten System gelangt - abgesehen vom Antivirenemulator - kein Code zur Ausführung, selbst die Hardware des simulierten PCs wird emuliert.
Kernpunkt dieses Verfahrens ist nicht die Überwachung und Beendigung potenziell schädlicher Aktionen zur Laufzeit, entscheidend ist herauszufinden, was das Programm angerichtet hätte, wenn es auf einem ungeschützten Computer, in einem ungeschützten Netzwerk, selbst auf einem Netware-Server, unter Linux, OS/2 oder DOS ausgeführt worden wäre.
Die Lösung von Norman: Lassen Sie den Virus sein Spiel spielen. Kontrollieren Sie das Spiel!
|
|
Medium risk
Low risk