Vollständigkeit Überprüfung beim Verteidigen gegen Viren

Share

|

Beim Verteidigen gegen Viren, beschäftigen wir Geschöpfe, die ihre Wirt Programme ändern, während sie verbreiten. Folglich Einweg, das Vorhandensein eines Virus ist zu ermitteln, Akten zu entdecken, die unerwartet geändert worden sind. Der Vollständigkeit Überprüfung Prozeß zielt darauf ab, dieses Ziel durch nach diese Schritte zu erzielen:

1. Während die Maschine in einem pristine Zustand ist, notieren rechnenfingerabdrücke (in Form von Prüfsummen oder Verschlüsselungs hackt), der Akten diese Notwendigkeit überwacht zu werden und sie in einer Grundlinie Datenbank.

2. Wenn Sie das Dateisystem für mißtrauische Änderungen ablichten, berechnen Sie Fingerabdrücke der Monitordateien und vergleichen Sie die Werte mit denen in der Grundlinie.

3. Wenn unerklärte Unterschiede zwischen der gegenwärtigen Lage und der Grundlinie ermittelt werden, geben Sie einen Alarm heraus.

Es gibt einige kommerzielle und freie Anwendungen, die dem Einführen solcher Vollständigkeit Überprüfung Verfahren eingeweiht werden. Das berühmteste dieser Werkzeuge ist vermutlich Tripwire (vorhanden an www.tripwire.com), das zum Ermitteln der nicht autorisierten Änderungen am Dateisystem fähig gewesen ist, seit es zuerst 1992 freigegeben wurde. Tripwire und andere Software dieser Art sind nicht Viruskontrolleure, an sich, das—solche Programme anstreben, Verwalter der mißtrauischen Änderungen am Zustand der Maschine unabhängig davon zu alarmieren, ob der Angriff durch malware durchgeführt wurde oder durch irgendeine andere Führung durchgeführt wurde.

Vollständigkeit Überprüfung Annäherungen können durch antivirus Software auch verwendet werden, obgleich Verkäufer selten über den Umfang bevorstehend sind, in dem sie solche Einheiten eingeführt haben. Sophos AntiVirus bekannt, um Prüfsummen zu verwenden, um zu helfen, festzustellen, ob eine Akte über andere Abfragung Methoden sorgfältig überprüft werden muß. Wenn er eine Akte ablichtet, berechnet Sophos AntiVirus die Prüfsumme der Akte und vergleicht sie mit dem Wert, der früh errechnet wird. Wenn die Prüfsummen nicht zusammenpassen, dann gibt es eine Wahrscheinlichkeit, daß die Akte angesteckt wurde, und das antivirus Programm konnte sie gänzlich überprüfen müssen.

Ein antivirus Produkt, das versucht, die die meisten Vollständigkeit Überprüfung Techniken zu bilden, ist wahrscheinlich, über die Teile der Akte vorgewählt zu sein, von die für Grundlinie Vergleiche Fingerabdrücke genommen werden. Z.B. könnte es für den Inhalt eines Microsoft Word Dokumentes okay sein zu ändern, wenn der Benutzer seinen Text redigiert; jedoch ist es für die Makros weites weniger allgemeines, die im geändert zu werden eingebettet werden Dokument. Folglich konnte antivirus Software von den Änderungen mißtrauischer sein, die im Makroabschnitt des Dokumentes ermittelt wurden.

Die Hauptbeschränkung der Vollständigkeit Überprüfung Methode ist, daß sie die Infektion ermittelt, nur nachdem sie auftritt. Jedoch ist es eine nützliche Hinzufügung zum Toolkit, der aus Annäherungen besteht, die nach Unterzeichnungen der bekannten malware Probestücke suchen und denen, die Heuristik verwenden, um schädlichen Code zu ermitteln. Leider gleichmäßige antivirus Software, die jedes von diesen Abfragung einführt