Positionierung des RRZE
Download
Report
Transcript Positionierung des RRZE
Virenerkennung mit Sophos Anti-Virus
Christoph Singer
20.07.2015
Agenda
Virus Detection Engine
Sophos Anti-Virus
InterCheck
Prüfsumme
Überprüfung anderer Objekte
Virenüberprüfung
Virenerkennungsmethoden
Virenbeschreibungen
VDL und Virenerkennungsdateien
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
2
Virus Detection Engine
Basiert auf einzelnen abgeschlossenen
Dynamic-Libraries.
Verfügt über:
20.07.2015
Einen Code-Emulator
Einen Online-Dekompressor
Eine OLE2-Engine
[email protected]
Virenerkennung mit Sophos Anti-Virus
3
Sohos Anti-Virus I
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
4
Sophos Anti-Virus II
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
5
Sophos Anti-Virus III
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
6
InterCheck
Es wird jede Datei, während auf sie zugegriffen wird,
gefiltert und nur die Dateien zur Überprüfung an die Engine
geschickt, die möglicherweise einen Virus enthalten.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
7
Prüfsumme
Die Prüfsumme wird durch einen sicheren Algorithmus aus der
Bytereihenfolge einer Datei erzeugt.
Unterscheiden sich die Prüfsummen, oder ist noch keine
Prüfsumme vorhanden, wird eine Kopie der Datei an die Engine
zum Überprüfen geschickt.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
8
Überprüfung anderer Objekte
Datenträgerüberprüfung
InterCheck fängt die Datei, auf die zugegriffen wird, ab und
schickt sie zur Überprüfung.
E-Mail-/Internet-Überprüfung
Die meisten Browser speichern den Inhalt einer Webseite und
Emails auf der Festplatte zwischen. Beim Speichern wird eine
Kopie von InterCheck zur Überprüfung an die Engine geschickt.
Bootsektorüberprüfung
Wird nach dem Booten auf einen Datenträger zugegriffen, wird
automatisch dessen Bootsektor auf Viren überprüft.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
9
Virenüberprüfung
Die Virenprüfung wird durch 2 Komponenten geregelt
Classifer
Virendatenbank
Über das Konfigurationsfenster kann man bestimmte
Dateitypen für die Überprüfung entfernen und neue
hinzufügen.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
10
Virenerkennungsmethoden
Übereinstimmung von Mustern
Die Engine kennt die jeweilige Codefolge und sucht nach einer
genauen Übereinstimmung, die den Virus identifiziert.
Heuristik
Bei der Heuristik werden statt bestimmten Regeln allgemeine
Regeln zur Virenerkennung verwendet. Die Datei wird nach
Code durchsucht der dem bekannter Viren ähnlich ist.
Emulation
Das Emulationsverfahren wird bei polymorphen Viren
angewendet. Die zu überprüfenden Programme werden
in einem Emulator gestartet, der die Entschlüsselung des
Virenstamms speichert, wenn dieser in den Speicher
geschrieben wird.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
11
Virenbeschreibungen
Analyse einer verdächtigen Datei
Der Virus wird repliziert und die Replikanten auf
Standard-“Goat“ Dateien gestartet.
Der Code wird analysiert.
Es wird eine Virenerkennungsdatei erzeugt.
Die Funktionsweise der Erkennungsdatei wird auf allen
Plattformen und unter allen Bedingungen getestet.
Beispiel für eine Virenbeschreibung
Name:
Segmentstart:
Segmentende:
Virentyp:
Muster:
Datum:
20.07.2015
#Bleah-C ; Bleah-c, cmg970206
{ ;MBR,DBR
<identity code inserted here>
}
W { MRIi }
P { bb00 0283 f901 757b 0af6 7577
3d01 0374 593d 0102 756d 9cff }
D { Nov 1996 }
[email protected]
Virenerkennung mit Sophos Anti-Virus
12
VDL und Virenerkennungsdateien
VDL (Virus Description Language)
Die Beschreibung aller Viren werden in die VDL.DAT Datei
geschrieben, welche jeden Monat neu erstellt wird.
Die VDL.DAT ist komprimiert und verschlüsselt.
IDEs
IDEs enthalten in einfachem ASCII-Format kodierte VDL für
einen Virus oder eine Virenfamilie.
Sie ermöglichen die Erkennung und Desinfektion des
entsprechenden Virus oder der Virenfamilie bis die nächste
VDL.DAT erstellt wurde.
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
13
Quellen / Kontakt
Quellen:
Sophos White Paper
Kontakt:
[email protected]
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
14
Vielen Dank für Ihre
Aufmerksamkeit!
20.07.2015
[email protected]
Virenerkennung mit Sophos Anti-Virus
15