Wie funktioniert die signaturbasierte Erkennung?

Die signaturbasierte Erkennung gibt es bereits seit aufkommen der ersten Computerviren. Wie die Erkennung funktioniert, erfahren Sie hier.

Grundlagen - signaturbasierte Erkennung

Vereinfacht ausgedrückt suchen signaturbasierte Scanner bei der Überprüfung sämtliche Dateien und Programme nach den Codes bekannter Malware ab. Die Qualität der so genannten Virensignaturen – korrekt handelt es sich um Malware-Signaturen, da sie die Codes sämtlicher Schadprogramme aufführen – hängt dabei von ihrer Aktualisierung durch die Hersteller ab.

Angesichts der täglich neu entdeckten fast 60.000 Schadprogramme, müssten die Signaturen daher zunehmend umfangreicher werden. Doch diese würden auf den Rechnern zu viel Speicherplatz benötigen. Deswegen sind Kompromisslösungen notwendig, um auf effektive Weise so viel Malware wie möglich zu erkennen und gleichzeitig noch benutzbar zu sein.


Fortschrittliche Scanner erkennen auch mehrfach verschlüsselte Malware

So enthält eine Signatur nicht für jede einzelne Malware den genau passenden Code. Vielmehr erzeugen Hersteller die Signaturen anhand von bestimmten Algorithmen, welche die typischen Merkmale mehrerer miteinander „verwandter“ Schadprogramme beinhaltet. Mit Hilfe der Algorithmen durchsuchen die Scanner die Programme nach allgemeineren Übereinstimmungen. Auf diese Weise können auch Schadcodes mit kleinen Veränderungen entdeckt werden.

Hinweis!!! Die Signaturen dürfen möglichst keine Codes nützlicher oder harmloser Programme enthalten, um Fehlalarme zu vermeiden.

Mit Signaturscannern verbundene Transformatoren tragen außerdem dazu bei, dass durch Verschlüsselung unkenntlich gemachte Malware identifiziert werden kann. Durch einen mehrstufigen Algorithmus werden die Codes auf eine eindeutige und einfache Form zurücktransformiert. Selbst beliebig oft modifizierte Malware wird mithilfe der Transformatoren erkannt.


VorteileVorteile:

  • schnelle Erstellung der Signatur
  • hohe Erkennungsrate (95 %)
  • Cloud-basierte Erkennung möglich
  • NachteileNachteile:

  • Aktualisieren der Signaturen
  • Schadcode durch Signaturerkennung

  • Weiterführende Links
    » Wie funktioniert ein Antivirenprogramm?
    » Funktionsweise der heuristischen Erkennung