Verhaltensbasiertes vs. heuristisches Antivirus

Während Computer brillant erscheinen mögen, sind sie im Kern unintelligente Maschinen, die auf Anweisungen angewiesen sind, die Menschen erstellen, um sie zum Laufen zu bringen. Viren sind Programme, die Computer veranlassen, Anweisungen auszuführen, die ihnen und Ihren Daten schaden können. Softwareentwickler erstellen verhaltensbasierte und heuristische Antivirenanwendungen, die verschiedene Methoden verwenden, um Viren und andere Formen von Malware zu erkennen und zu beseitigen, die Ihren Computer infizieren können.

Virendatenbanken und Codesignaturen

Windows Defender, eine mit Windows gelieferte Sicherheits-App, identifiziert ein verdächtiges Programm, indem es das Programm mit einer von Microsoft verwalteten Datenbank abgleicht. Sicherheitsprogramme, die auf Datenbanken für Malware-Informationen angewiesen sind, überprüfen sie häufig, da Menschen ständig neue Viren erstellen. Viele Antivirenprogramme identifizieren Bedrohungen, indem sie ihre "Signaturen" untersuchen. Eine Signatur ähnelt einem Fingerabdruck: Sie stellt einen bestimmten Satz von Merkmalen einer Datei dar, die anderen helfen, die Datei zu identifizieren.

Verhaltenserkennung

Ein Antivirenprogramm zur Verhaltenserkennung funktioniert wie ein Polizist, der bei einem Verdächtigen nach seltsamem Verhalten sucht. Wenn Sie eine Antiviren-App installieren, die Verhaltenserkennung verwendet, überwacht sie Ihr Betriebssystem und sucht nach verdächtigen Ereignissen. Wenn das Antivirenprogramm beispielsweise einen Versuch beobachtet, eine Datei zu ändern oder zu modifizieren oder über das Internet zu kommunizieren, kann es Maßnahmen ergreifen und Sie vor der Bedrohung warnen. Es kann die Bedrohung auch blockieren, je nachdem, wie Sie die Sicherheitseinstellungen anpassen.

Heuristische Erkennung

Antivirus-Apps, die Heuristiken verwenden, ähneln signaturbasierten Erkennungsprogrammen. Sie versuchen, Malware zu identifizieren, indem sie den Code in einem Virenprogramm untersuchen und die Programmstruktur analysieren. Eine heuristische Antivirus-App, die diese Erkennungsmethode verwendet, kann einen Prozess ausführen, der die tatsächliche Ausführung des von ihr untersuchten Codes simuliert. Wenn dies der Fall ist, versucht die Antiviren-App, zusätzliche Codelogik zu identifizieren, die ihr helfen kann, festzustellen, ob der vermutete Virus wirklich eine Bedrohung darstellt.

Änderungen des Codemusters

Da Antivirenprogramme, die die Verhaltenserkennung verwenden, nach verdächtigem Verhalten in einem potenziellen Virus suchen, können sie Bedrohungen erkennen, die einige heuristische Antivirenprogramme möglicherweise übersehen. Angenommen, eine heuristische Datenbank enthält beispielsweise ein Codemuster, das aus A-B-B-A besteht. Wenn die Ersteller eines Virus ihren Code so ändern, dass sich das Muster in A-A-B-B ändert, erkennt eine heuristische Antiviren-App diese modifizierte Version möglicherweise nicht.

Überlegungen

Ein falsch positives Ergebnis tritt auf, wenn ein Antivirenprogramm Sie darüber informiert, dass ein Programm gefährlich ist, obwohl dies nicht der Fall ist. Die Malware-Erkennung mit heuristischen Methoden erhöht häufig die Anzahl der Vorfälle von falsch positiven Ergebnissen. Es kann auch länger dauern, bis heuristische Antivirenprogramme Dateien scannen als Programme, die Verhaltenserkennung verwenden. Viele moderne Antivirenprogramme verwenden sowohl Heuristiken als auch Verhaltensmethoden, um Computer vor Malware zu schützen.