De werking van anti-virus software uitgelegd

Op ExtremeTech is een artikel verschenen over de werkwijze van Anti-Virus programmeurs. Verspreid over zeven pagina's wordt ingegaan op de definitie van een virus en andere soorten ongewenste code, zoals een trojan horse. Daarnaast wordt gepraat over het vinden en analyseren van nieuwe virussen, en de geschiedenis ervan. Het laatste onderwerp is 'signature scanning' en hoe deze techniek gebruikt kan worden om nog onbekende mutaties van een virus op te sporen.

De schrijver zegt binnenkort met een tweede deel te komen, waarin onder andere in zal worden gegaan op de verschillende technieken die virussen gebruiken om aan ontdekking te ontsnappen, zoals polymorphen en metamorphen. Het stuk biedt een leuke kijk op de wereld van de makers van virussen en virusscanners. Na het lezen heeft de lezer een goed beeld van wat een virus is en hoe het globaal te werk gaat:

Computer Virus--the words alone provoke images of vanishing data, crashing PC's, and financial ruin. Emerging from obscurity 12 years ago to front page news, the computer virus has been portrayed in Hollywood as everything from a way to siphon off millions of dollars, to a secret weapon to bring down an alien enemy. The popular press has had its share of fun with Michelangelo, Melissa, and the Love Letter as well. While maybe not as dramatic as Hollywood portrayals or USA Today reports, viruses are a daily nuisance for both home and corporate computer users. With each new virus, a dozen antivirus vendors swing into action to find a cure. We spoke to product managers and researchers at Panda, McAfee, Symantec, and eSafe to get some insight into their work. In this two-part article, we'll explore a few of the techniques these vendors use to identify and detect viruses.

Lees meer

Reacties (41)

Stewie! 4 juli 2002 00:44

dit artikel is een handige bron voor mensen die virussen willen schrijven die niet meteen verholpen kunnen/zullen worden door de AV scanners. Interessant om door te lezen

edit:
ben ik de nige wakker nu ofzow?!?

Jordi @Stewie! • 4 juli 2002 01:06

dit artikel is een handige bron voor mensen die virussen willen schrijven die niet meteen verholpen kunnen/zullen worden door de AV scanners.

En wat staat er precies in dit uiterst oppervlakkige artikel wat een virusschrijver zou kunnen helpen met het schrijven van een geweldig undetectable virus? Dit is een leuk artikel voor mensen die geen idee hebben wat een virus is en wat een virusscanner zoal doet, maar dit is echt maar basic info waar een virusmaker of virus researcher echt helemaal niks aan heeft.

Deel 2 over heuristics zou een stuk interessanter kunnen worden, als men tenminste niet zo oppervlakkig blijft. Erg jammer, ben erg geinteresseerd in virussen e.d.

Sowieso is heuristic scanning vrij ingewikkeld en leuk om je es in te verdiepen, maar erg jammer vind ik het dat je tegenwoordig nergens meer heuristic cleaning (zoals TbClean uit the good old DOS days) terugziet. Dat is een stuk gevaarlijker dan heuristic scanning, maar wel erg interessant. Een hele tijd terug las ik ergens dat Norman met een dergelijke 'sandboxing' techniek bezig was, een executable in een soort VMWare achtig iets laten draaien en on-the-run analyseren wat het doet en op die manier (dat is de bedoeling iig) een signature + disinfect methode genereren. Ge-ni-aal. Het virus het 'werk' laten doen om een detectie+desinfectiemethode te achterhalen, hoe ironisch. Lijkt in zekere zin wel op TbClean. Zou Norman dan toch na al die tijd nog iets gaan doen met hun 'overname' van TBAV een aantal jaren terug?

lintux @Jordi • 4 juli 2002 14:00

Sowieso is heuristic scanning vrij ingewikkeld en leuk om je es in te verdiepen,

Leuk was het ja, ingewikkeld ook. Maar goed? Ik heb wel eens wat met tbscan gespeeld.. Self-decrypting (naja, een simpele XOR :-) COM gemaakt. Best leuk om te zien dat TbScan dat detecteerde, die decryptie. Maar wat teleurstellend was, ik hoefde maar wat aan te passen en de scanner had niks meer door.

IOW: Het was toen nog makkelijk om de tuin te leiden.. Nu niet meer?

Bolk @Stewie! • 4 juli 2002 00:51

Ik denk eerlijkgezegd niet dat de werking van AV software direct de makers kunnen beinvloeden. Als een virusmaker een virus schrijft probeert ie in eerste instantie de AV software te omzeilen. Oftewel, de werking is niet echt belangrijk, omdat ze toch iedere keer wel weer iets nieuws verzinnen.

Eerst het virus, dan de anti-virus software.

Verwijderd @Stewie! • 4 juli 2002 00:52

dit artikel is een handige bron voor mensen die virussen willen schrijven die niet meteen verholpen kunnen/zullen worden door de AV scanners. Interessant om door te lezen

Dus jij denkt dat de anti_virus_software_makers heel de dag stil zitten om op virussen te wachten

Zij zien ook wel waar weer nieuwe virussen kunnen onstaan, en zijn daar al lang mee bezig voordat iemand dat virus uitgevonden heeft, zo kunnen ze er snel op in springen, en krijgen ze een goede en betrouwbare naam.

Al gaat dit natuurlijk niet altijd in!!

lintux @Stewie! • 4 juli 2002 12:28

dit artikel is een handige bron voor mensen die virussen willen schrijven die niet meteen verholpen kunnen/zullen worden door de AV scanners.

Prima toch? Niks verborgen houden, dat noemen ze in de computerwereld ook wel 'Security By Obscurity' en is IMHO laf en niet effectief. Je kunt het nog zo lang verborgen houden, uiteindelijk komt iemand er wel achter. Kun je beter zorgen dat iemand met goede bedoelingen er als eerste achter komt.

Zouden virusscanners niet open-source moeten zijn? ;-)

Verwijderd 4 juli 2002 08:44

Overigens geeft het computervirusboek van Norman Virus Control weer een aardige blik in wat verschillende virussen doen: http://norman.circuit.no/manuals/dut/nvc5_virusboek.pdf

Verwijderd 4 juli 2002 18:05

Shit, net 2 weken geleden voor school een werkstuk over de werking van anti-virus software geschreven van 14 a4tjes, zie ik dit

Al dat werk.. VOOR NIETS

edit: +1 "grappig"? +1 "wat zielig voor Lomu" zal je bedoelen

Verwijderd 4 juli 2002 06:57

Bedrijven die anti-virus software maken hebben baat bij dat er veel virussen in de computerwereld zijn. Als het dus wat minder gaat, dan is er een mogelijkheid dat een medewerker zelf een virus creëerd en de wereld in stuurt om zo gegarandeerd te zijn van werk.

Kijk maar naar de bosbranden in de USA, regelmatig komt het voor dat notabene een brandweerman(!) de brandhaarden heeft aangestoken, omdat er lange tijd geen vuur is om te blussen = géén inkomsten...

Verwijderd @Verwijderd • 4 juli 2002 07:30

Belangrijk verschil: als men er achter komt dat een brandweerman een brandje stookt, zullen mensen als ze brand hebben daarna niet denken: "we bellen een ander brandweerkorps"; terwijl als bekend wordt dat antivirus-bedrijf X zelf een virus heeft verspreid, veel mensen een andere virusscanner zullen gaan gebruiken...

Skyclad @Verwijderd • 4 juli 2002 07:30

Als je een brandweerman afdankt komen niet de branden van de jaren ervoor opeens weer terug. Als je je virusscanner eraf gooit kan je wel weer door oude virussen besmet worden.
Schaf jij de sloten in je huis af omdat er al een tijd geen dief is gesignaleerd? Virusscanners zijn preventief, da's toch wel iets anders dan een brandweerman.

Verwijderd @Verwijderd • 4 juli 2002 09:35

Er is een vermoeden dat sommige brandweermannen in feite pyromanen zijn. De meesten nemen dan genoegen met het enkel bestrijden van vuur. Maar enkelen kunnen zich niet beheersen en stichten zelf een vuur. Maar wat Amerika betreft: een boswachter had een brief verbrand van haar ex-man uit woede. Dus niet om inkomsten te gaan werven.

Anti-virus-makers hoeven heus geen virussen schrijven om te voorkomen dat ze achteruitgaan in de inkomsten. Er zijn genoeg pubers die te pletter vervelen en een virusje schrijven.

Verwijderd @Verwijderd • 4 juli 2002 09:24

Als je de herkomst van virussen bekijkt dan zal je zien dat er relatief weinig uit het land komen waar de belangrijkste virusscanners vandaan komen. Ook is het aantal virussen dat per dag wordt gemaakt zo hoog dat het helemaal niet nodig is om als virusscanner ontwikkelaar zelf virussen te gaan verspreiden. Het laatste argument was hierboven al genoemd, als het bekend zou worden dat deze praktijk zich zou voordien dan kan het bedrijf de deuren wel gaan sluiten, niemand die het product meer zal kopen of gebruiken.

Verwijderd 4 juli 2002 08:06

wel eens mcafee op een 200mhz geinstalleerd?
Drama, zo traaf.

Gwannoes @Verwijderd • 4 juli 2002 11:00

Nee, maar ik had het op een 286 @16MHz draaien. Onder dos wilde dat prima. Windhoos had ik er toen nog niet op staan, maar dat was ook niet echt nodig.

Waarschijnlijk refereer jij aan een moderne windows-versie van McAfee. Ik denk niet dat de software daar voor geschreven is. Je probeert toch ook niet Adobe Photoshop6 of Windows XP te installeren op een 200MHz-machine? Je vraagt gewoon te veel denk ik.

cavey @Gwannoes • 4 juli 2002 15:00

is het wel zoveel gevraagd om een virus scanner op een 200MHz machine te draaien?

ik draai zelf win2k en linux op m'n 210MMX doosje (ja oc'd 166'r), draait prima, linux uiteraard soepeler dan win2k, maar het draait. stabiel. photosoepen gaat ook prima.

Waarom moet alles alleen maar goed kunnen draaien op een boelveel GHz bak?

goed, flamebait.

Dit soort util software moet op elke random machine goed kunnen draaien nog. Er zijn zat mensen die nog een oude pc hebben, die moeten dan verstoken blijven van een goede virus scanner?

oh nee.. upgraden.. natuurlijk. hmm dit zal wel geflamed worden

Verwijderd @Verwijderd • 4 juli 2002 09:39

Ik vind McAfee het slechtste antivirusprogramma die er is. Tenminste bij de bekende namen dan. Ik ken genoeg kennissen die McAfee hadden en toch besmet raakten. En dan moeten zij de traagheid op de koop nemen.

Ik let bij een antivirusprogramma dus niet uitsluitend op de score van het detecteren maar ook op de performance.

_JGC_ @Verwijderd • 5 juli 2002 00:49

Persoonlijk vind ik McAfee helemaal niets. Ik weet nog wel dat ik 10 dagen op een update mocht wachten tegen de eerste Klez variant, terwijl Norton er al melding van maakte (had geen virus signature/update, maar wel een handleiding om het weg te krijgen), Sophos was redelijk snel en F-Prot weet ik het zo niet van.
Laatst met Yaha (Lentin.F) weer hetzelfde: Sophos was er snel bij, McAfee deed er nog een weekje over

Verwijderd @Verwijderd • 4 juli 2002 09:25

Sterker nog, het heeft zelfs gedraaid op mijn oude 486-33MHz.

Verwijderd @Verwijderd • 4 juli 2002 08:08

hmmm, traag

PJB 4 juli 2002 09:24

Reactie op Wheelie.
Een beetje fatsoenlijke scanner kijkt natuurlijk aleen naar nieuwe bestanden die je computer binnenkomen.
Via het draadje van je internet verbinding of floppy's & cd's etc.
Telkens een bestand scannen wat al langer op je pc staat is niet zo handig.
Maar toch heb ik het idee dat sommige virusscanners echt constant aan het malen zijn op je harddisk.

BlaTieBla @PJB • 4 juli 2002 09:34

Virussen kunnen bestanden aanpassen op een dermate manier, dat er niets aan veranderd lijkt te zijn. Dus het verhaal van bestanden niet scannen die al lang aanwezig zijn is een fabel.
Onder DOS kon je eenvoudig de tijd / datum van bestanden wijzigen waardoor leek alsof het niet was aangepast.
Enige manier om dit optelossen is om een zgn. signature van die bestanden er op na te houden. Als het bestand intern wijzigt, is de signature niet meer valid en zou het gescanned moeten / kunnen worden.

Verwijderd @PJB • 4 juli 2002 09:29

Zo nu en dan de hele HD scannen is soms wel nodig. Als iemand namelijk een bestand via het netwerk op de schijf zal zetten is het niet gewaarborgd dat een eventuele infectie wordt opgemerkt. Dat merk je dan pas als de bewuste file op die machine wordt opgestart. Op deze manier is het mogelijk om trojans stiekum op het systeem te zetten zonder dat je er weet van hebt. In zo'n situatie zou ik persoonlijk liever van te voren weten dat er een besmette file op de schijf staat, dan dat ik het pas weet tijdens het opstarten van de file.

Verwijderd @Verwijderd • 4 juli 2002 09:42

En vergeet niet dat er eventuele besmette bestanden al op je harde schijf konden staan die toen nog niet gedetecteerd konden worden. Als deze bestanden nooit geopend worden, dan kunnen ze niet makkelijk gedetecteerd worden. Dus het is raadzaam om af en toe de hele schijf te scannen als je een update binnengehaald hebt.

mjtdevries @Verwijderd • 4 juli 2002 15:21

De mooiste oplossing daarvoor zou eigenlijk zijn dat een virusscanner een flag op een file zet, waaraan ie kan zijn of de file al een keer gescand is, en zo ja met welke versie.

Wellicht is zo'n optie niet mogelijk op NTFS, maar de virussscanners voor Exchange doen dat bv wel voor de data in de exchange database.

Verwijderd @Verwijderd • 4 juli 2002 09:45

zeker! ik weet het van mijn netwerk wat ik thuis heb liggen, mijn broer en ik slaan alles centraal op een servertje op, deze controleert om de 3uur alle hardeschijven op virussen, omdat je gewoon niet zomaar kan zien of er iets besmet is. en verder moet je gewoon niet elke .exe vertrouwen die je van internet vist

mjtdevries @Verwijderd • 4 juli 2002 14:07

En daarvoor draai je dus een virus-shield achtige tool.
Zodat ALLES wat er naar je schijf geschreven wordt gecontroleerd wordt op virussen. Dus ook dat wat via het netwerk binnen probeert te komen.

Verwijderd 4 juli 2002 08:27

Virusscanner installeren is GEEN grote onzin. Ze hebben niets voor niets een virusscan software ontwikkelt. Want je kan niet met het blote oog zien of er een virus in een bestand zit verstopt. Dus als je van Kazaa iets download en het is een besmet bestand zal dat er echt niet bij staan. Virussen zijn ontwikkelt om ze juist niet te zien en een virusscanner kan het wel zien. Ik raad jullie allemaal aan om toch wel een viruscanner te installeren en regelmatig een update te downloaden.

Pooh @Verwijderd • 4 juli 2002 11:35

Tsja, dat hangt ervan af hoe goed je oplet, en welke software je gebruikt. Overleven zonder virusscanner (onder windows) kan prima, maar 't kost wat moeite:

[executable=.com, .exe, .pif, .vbs, .doc, (.xls), .scr]

1. Haal nooit een executable van een flop. (beetje overbodig tegenwoordig, maar de echte ouderwetse virussen kom je nog wel eens tegen).
2. Haal nooit een executable van een niet vertrouwde bron. (dus alleen van officiele cd's en officiele downloadsites).
3. Gebruik geen vulnerable software (outlook express, MS-word) als er goede vervangers zijn (voor excel zijn die er helaas niet echt).
4. Trash executables per mail. (Vertrouw niet op je eigen helderheid... ook mensen die nooit een attachment openen doen het in een onbewaakt ogenblik toch (oops... wrong button)).

Verwijderd @Pooh • 4 juli 2002 12:51

Waarom mis ik hier .mp3 ????????????????

MikeN @Verwijderd • 4 juli 2002 13:36

Omdat er in mp3's geen virussen zitten zolang je op punt 3 let -> geen winamp gebruiken dus

E-Mile 4 juli 2002 14:35

Dachten jullie nou echt dat virus creators geen idee hadden hoe anti-virus software werkt?

Beetje naief, lijkt me gewoon een casual bericht waarin zoiets uitgelegd wordt.

Verwijderd 4 juli 2002 06:52

Een virus scanner instaleeren op je pc is eigelijk grote onzin.
als ik een sukje software moet hebbennen zoe dat via KaZaA D.laod ik meestal films enzo.24/7 minimaal 1gigje per dag.
Ik heb echt nooit een actief virus... nooit! gooi het foute meteen weg en scan bij trend altijd online.
Er wordt nooit wat gevonden

wat ik bedoel is, pas een beetje op met wat je opend, dan is er niks aan de hand.

He, wist je dat zo"n virus scanner snelheid kost!

Verwijderd @Verwijderd • 4 juli 2002 09:19

De meeste virussen komen ook niet binnen via het downloaden van software en films. Bijna alle virus infecties ontstaan via het binnenhalen van geinfecteerde files met email. En aangezien vrijwel iedere gebruiker email heeft en 90 procent van de gebruikers niet weet dat ze moeten opletten dat er geen rare files in attachmentments worden geopend kunnen virussen zich gemakkelijk verspreiden.

MikeN @Verwijderd • 4 juli 2002 13:33

Een virus scanner instaleeren op je pc is eigelijk grote onzin.

Deze fout maak je maar 1x.....

Ik had het zelf nog, op een pc zonder virusscanner. Ik moest ff snel iets hebben en haalde wat van kazaa af. Het spel bleek goed te werken enzow, nou klaar dan he?
Kom ik er 5 dagen later (nog net op tijd) toevallig achter dat er in dat spelletje wel het CIH virus zat.

Bijna hele HD leeg geweest, tenminste, dat is wat sommige varianten van CIH doen.