Hallo,
nach welchem grundsätzlichem Prinzip funktionieren Viren-, Würmer- und Trojanerscanner?
Ich stelle mir das so vor, daß die zu untersuchenden Dateien mit einer Hashwertbibliothek abgeglichen werden. Dann aber müßte diese Bibliothek ständig größer und die Abfragezeit immer länger werden. Ist das tatsächlich so?
Danke und Gruß
JayKay
Moien
Ich stelle mir das so vor, daß die zu untersuchenden Dateien
mit einer Hashwertbibliothek abgeglichen werden.
Teile der Dateien, ja. Meistens kleine Stücke, so im 100-500 Byte Bereich.
Dann aber
müßte diese Bibliothek ständig größer und die Abfragezeit
immer länger werden.
Ja. Allerdings ist die Abfrage der DB (immernoch) wesentlich schneller als das Einlesen und Hashen der Dateien.
DBs, die sich nicht ändern, kann man sehr, sehr weit optimieren. Und damit auch extrem schnell machen.
Beispiel: Ein Genom von 100 MB nach einer bestimmten, exakten Sequenz durchsuchen dauert (genug RAM vorrausgesetzt) unter 5ms. Hashs sind noch einfacher.
Und richtig alte Schätzschen werden eh aus der DB genommen. Ein Windows XP Scanner wird DOS-Viren nur noch selten finden.
Dann haben viele Virenschreiber Teile aus einem anderen Viren übernommen. Man sucht erstmal nur den gemeinsamen Teil und differenziert dann später.
cu
Hallo JayKay
nach welchem grundsätzlichem Prinzip funktionieren Viren-,
Würmer- und Trojanerscanner?
Auf http://home.arcor.de/scheinsicherheit/einleitung.htm kannst Du darüber etwas nachlesen.
CU
Peter