Wie funktioniert ein Antivirenprogramm?

Schadprogramme werden immer komplexer, damit Sie vor einem Cyber-Angriff geschützt sind benötigen Sie ein aktuelles Antivirenprogramm. Hier erfahren Sie, wie diese Software funktioniert.

Wie funktioniert ein Antivirenprogramm

Sicher hat jeder von Ihnen, schon einmal was von Computer-Viren gehört – so ein Virus macht heutzutage nur noch einen kleinen Bruchteil aller Schadprogramme aus. Denn Würmer, Trojaner, Rootkits, Keylogger und Backdoors, verbreiten sich trotz installierter Sicherheitssoftware rasend schnell. Während die ersten Viren noch recht kleine Programme waren, die sich ausschließlich selbst verbreiteten und gegebenenfalls für kleinere Schäden sorgten. Mittlerweile tarnen sich die mehrfach verschlüsselten Viren und Würmer sehr geschickt, um den Computer oder persönliche Daten auszuspähen.

Unterscheidung von Schadprogrammen

Da sich heute Viren, Würmer und Rootkits nach ähnlichen Prinzipien verschlüsseln und tarnen, ist eine genaue Unterscheidung nur schwer möglich. Allerdings unterscheiden sie sich in der Funktionsweise von den Trojanern. Ein Trojaner ist vereinfacht ausgedrückt, ein als nützlich getarntes Programm, welches nur dem Zweck dient andere Schadprogramme in Rechner einschleusen. Vergleichbar sind Trojaner mit sogenannten Backdoorprogrammen, welche vorhandene Sicherheitslücken im System aufspüren, um so für Hacker eine „Hintertür“ zu öffnen. Durch diese Backdoors gelangen Schadprogramme wie zum Beispiel Keylogger ins System, um die Nutzer heimlich auszuspähen. Allgemein wird jegliche Art von Schadprogrammen auch Malware genannt.


Funktionsweise einer Antivirensoftware

Ein Antivirenprogramm soll Ihren PC und vor allem wichtige Dokumente und Fotos vor Schadcode und Spionageprogrammen schützen. Dabei ist es egal um welche Art von Schadprogrammen es sich handelt, denn die Arbeitsweise der Antivirensoftware ist immer gleich.

  • Erkennen und Identifizieren der Malware
  • Malware entfernen oder auf Quarantäne setzen

Wie Sie sehen muss so ein Virus erst einmal erkannt werden, bevor er bekämpft und entfernt werden kann. Da aber durch permanente Weiterentwicklung von Schadprogrammen und deren mitunter tückische Unvorhersehbarkeit, die Entwicklung eines perfekten Scanners mit 100%iger Erkennungsrate praktisch unmöglich ist. Hilft einzig und allein die Kombination aus mehreren Erkennungsmethoden. Dadurch will der Hersteller der Antivirensoftware eine 95% Trefferquote gewährleisten.

Für die Erkennung wird zwischen zwei Techniken unterschieden:

Reaktive Erkennung von einfachen Viren

Bei der ersten Methode handelt es sich um die signaturbasierte Erkennung oder auch reaktive Erkennung. Der einfache Virus besser gesagt der Quellcode, wird demzufolge von der Antivirensoftware zerlegt und auf Schadcode durchsucht. Stößt die Erkennung dabei auf eine zuvor vom Hersteller des Antivirenprogamm erstellte Signatur, wird ein Virenfund gemeldet. Je nach Genauigkeit, welche durch unterschiedliche Algorithmen gewährleistet wird, bieten fortschrittliche Signaturscanner mit vorgeschalteten Transformatoren zudem sehr hohe Erkennungsraten. Hier erfahren Sie welche Vor- und Nachteile die signaturbasierte Erkennung hat.


Proaktive Erkennung von verschlüsselter Malware

Die heuristische oder verhaltensbasierte Erkennung bewertet potenzielle Schadprogramme aufgrund ihres Verhaltens. Diese so genannte proaktive Erkennung findet Verwendung in statischen und dynamischen Scannern (Sandbox-Technik).

Avira proaktive Erkennung

Zum Vergrößern anklicken.

Bei Viren die ihren Code bei jeder Reproduktion verändern, entsteht somit auch jedes Mal eine neue Signatur. Die einfachen signaturbasierte Scanner erkennen diese Schadprogramme nicht mehr, sodass das Vorschalten eines Transformators notwendig ist. Dieser „befreit“ den Code von zusätzlich eingefügten Byte-Folgen und stellt somit die für die Erkennung notwendige ursprüngliche Signatur wieder her. Der heuristische Scanner erkennt neue Malware wesentlich schneller als der Signaturscanner, allerdings weisen jedoch auch eine höhere Rate an Fehlalarmen auf.

Werden die Umformungen noch komplexer oder die Schadprogramme erzeugen einen völlig neuen Code, die erst über mehrere Generationen des gleichen Schadprogramms zur Ausführung kommen. Dann reicht zur Erkennung, weder der signaturbasierte Scanner noch der statisch heuristische Scanner aus. In solchen Fällen kommt die Sandbox zum Einsatz, dabei handelt es sich um einen Scanprozess der vom eigentlichen Rechner vollkommen abgeschottet wird. Hier lesen Sie wie die heuristische Erkennung funktioniert.


Schutzfunktionen der Antivirensoftware

Wie Sie durch die verschiedenen Funktionen erfahren haben, sollte ein gutes Antivirenprogramm nicht nur über die signaturbasierte Erkennung verfügen sondern auch über die verhaltensbasierte Erkennung. Denn bis der Entwickler die neuen Signaturen per Update bereit stellt können einige Stunden vergehen, was schon den Totalausfall Ihrer Hardware zur Folge haben könnte. Doch haben Sie sich erst mal eine Malware eingefangen, muss sie wie jeder Störung oder Fehler behoben werden.

Avira Scanfunktionen

Zum Vergrößern anklicken.

Hierfür stehen Ihnen je nach Funktionsumfang der Antivirenprogramme, die folgende Schutzmechanismen zur Verfügung.

  • Manueller Scanner
  • Online Scanner
  • Echtzeitscan
  • Cloud-Technik
  • Phishing-Schutz
  • Spamschutz

Achten Sie also schon beim Kauf der Software auf Funktionen die mehrere Bereiche abdecken. Lassen Sie sich vor allem nicht von anders lautenden Begriffen wie Realtime-Scan (Echtzeitschutz), Norton SONAR oder Kaspersky Security Network (Cloud-Technologie) verunsichern. Denn auch bei einem PC-System gilt, es ist nur so sicher wie das schwächste Glied in einer Kette und das ist fast immer der Anwender selbst.

Hinweis!!!
Installieren Sie kein zweites Antivirenprogramm auf Ihrem System, denn dadurch könnten sich die beiden Scanengines nicht nur behindern. Sondern auch noch komplett deaktivieren und ihr System ist ungeschützt.

Probleme mit der Antivirensoftware

Die meisten Anwendungsprobleme bei einer Antivirensoftware, treten im Zusammenhang mit fehlerhaften Updates oder einer nicht aktualisierten Virendatenbank auf. Denn nur wer sein Antivirenprogramm immer aktuell hält, kann neue Malware frühzeitig erkennen und entfernen.

Aber auch der Echtzeit-Scan kann zu Systemkonflikten führen, da große Datenbanken ständig geprüft werden und die Systemleistung dadurch gebremst wird. Auch beim Systemstart kann es mit guter Antivirensoftware etwas länger dauern, da das Programm direkt bei hochfahren das System untersucht.

Zu einem kompletten Absturz der Antivirensoftware kommt es häufig dann, wenn die System-Ressourcen übermäßig beansprucht werden. Das wäre zum Beispiel der Fall, wenn Sie während eines vollständigen Systemscans mehrere Programme öffnen die wissentlich viel Systemleistung verbrauchen.

Das könnte Sie auch interessieren:
» Wie funktioniert die signaturbasierte Erkennung
» Funktionsweise der heuristischen Erkennung

2 thoughts on “Wie funktioniert ein Antivirenprogramm?

  1. Tobit Hartmann

    Ich finde diesen Beitrag sehr gut denn der Lehrer gab mir eine 1

    Reply
  2. Lennoxon

    Sehr gute Seite, aber der Link bei Proaktiver Erkennung funktioniert nicht

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.