Wenn ein Computervirus einen Computer infiziert, muss er Änderungen an Dateien, kritischen Bereichen wie der Registrierung oder Speicherbereichen vornehmen, um sich zu verbreiten oder den Computer zu beschädigen. Ein Antivirenprogramm schützt einen Computer, indem es alle Dateiänderungen und den Speicher auf bestimmte Virenaktivitätsmuster überwacht. Wenn diese bekannten oder verdächtigen Muster erkannt werden, warnt der Virenschutz den Benutzer vor der Aktion, bevor sie ausgeführt werden. Nachfolgend finden Sie eine Liste der verschiedenen Formen der Virenerkennung, die ein Antivirenprogramm zum Schutz Ihres Computers verwenden kann.
Heuristikbasierte Erkennung
Die häufigste Form der Erkennung ist eine heuristische Erkennung, die einen Algorithmus verwendet, um die Signatur bekannter Viren mit einer potenziellen Bedrohung zu vergleichen. Heuristik-basierte Erkennung kann Viren erkennen, die noch nicht entdeckt wurden. Es kann auch bekannte Viren erkennen, die modifiziert oder getarnt und wieder in die Wildnis entlassen wurden.
Heuristisches Scannen ist die bekannteste Methode zum Erkennen neuer Viren. Es kann jedoch auch falsch positive Übereinstimmungen generieren, was bedeutet, dass ein Antivirenscanner eine Datei als infiziert melden kann, die nicht infiziert ist. Diese „False Positives“ sind minimal, aber nicht ungewöhnlich.
Erkennung auf Signaturbasis oder Virenwörterbuch
Jeder Virenscanner verfügt über eine Virendefinitionsdatei, eine Datenbank oder ein Wörterbuch mit Tausenden bekannter Virensignaturen. Diese Signaturen ermöglichen es einem Antivirenprogramm, frühere Viren zu identifizieren, die von Sicherheitsexperten analysiert wurden. Heute gibt es weit über 100.000 verschiedene bekannte Virensignaturen, die zum Vergleich herangezogen werden können.
Die signaturbasierte Erkennung ist eine hervorragende Möglichkeit, bekannte Viren zu verhindern, und ist die beste Erkennungsmethode, ohne eine falsche Warnung zu erzeugen. Die signaturbasierte Erkennung kann jedoch keine neuen Viren erkennen, bis die Definitionsdatei mit neuen Vireninformationen aktualisiert wurde.
Verhaltensbasierte Erkennung
Wenn ein Virus die oben genannten Erkennungen überstanden hat, analysiert das Antivirenprogramm das Verhalten von Programmen, die auf dem Computer ausgeführt werden. Wenn ein Programm beginnt, seltsame Aktionen auszuführen, kann das Antivirenprogramm eine Warnung auslösen. Nachfolgend finden Sie Beispiele für die Arten von Aktionen und Verhaltensweisen, die eine Warnung auslösen können.
- Ändern von Einstellungen anderer Programme.
- Ändern oder Löschen mehrerer Dateien.
- Überwachung von Tastenanschlägen.
- Fernverbindung zu Computern.
Die verhaltensbasierte Erkennung ist eine nützliche Methode, um Viren oder andere Malware zu finden, die versuchen, Informationen zu stehlen oder zu protokollieren. Viele Programme müssen sich jedoch heute an einen Online-Server melden oder Tastenanschläge protokollieren, um Online-Betrug zu verhindern, was manchmal dazu führt, dass diese Art der Erkennung falsche Warnungen ausgibt.
Sandbox-Erkennung
Wenn ein Programm verdächtig ist, können einige Antivirenprogramme auch die Sandbox-Erkennung verwenden, die eine emulierte Umgebung erstellt, in der das Programm ausgeführt und sein Verhalten analysiert werden kann. Wenn das Programm bei Ausführung in der emulierten Umgebung destruktives oder anormales Verhalten zeigt, warnt das Antivirenprogramm den Benutzer, bevor es ausgeführt wird.
Cloud-Antivirus-Erkennung
Die Cloud-Virenerkennung verwendet ein Computerprogramm, das Informationen sammelt, die dann hochgeladen und von einem Server in der Cloud verarbeitet werden. Indem die gesamte Erkennung auf dem Server ausgeführt wird, wird Ihrem Computer zusätzliche Verarbeitung erspart. Cloud Antivirus erfordert eine Internetverbindung.
Vollständige Systemprüfung
Schließlich ist ein vollständiger Systemscan oder ein einzelner Dateiscan eine manuelle Aktion, die von einem Benutzer durchgeführt wird, um alle Computerdateien zu scannen. Um diese Art von Scan auszuführen, öffnen Sie das Antivirenprogramm und wählen Sie die Option Vollständiger Systemscan oder klicken Sie mit der rechten Maustaste auf eine Datei und wählen Sie die Option zum Scannen aus.
Ein vollständiger Scan sollte nicht erforderlich sein, wenn ein Antivirenprogramm auf Ihrem Computer ausgeführt wird und aktiv auf Änderungen überwacht. Wenn sich Ihr Computer jedoch verdächtig verhält oder ein neuer Antivirenscanner installiert ist, ist es keine schlechte Idee, einen vollständigen Scan durchzuführen. Fast alle Dateien werden während eines vollständigen Systemscans überprüft, daher kann es lange dauern, bis er abgeschlossen ist.
Wenn Sie viele Dateien scannen müssen, starten Sie den Scan, bevor Sie zur Arbeit gehen oder zu Bett gehen.
