Kapitel 2. Schutz des Dateisystems

Schutzkomponenten

Der Schutz des Dateisystems wird durch Komponenten Datei-Anti-Virus und Virensuche gewährleistet.

• Datei-Anti-Virus fängt alle ausgeführten Operationen mit Dateien ab und überprüft die zuzugreifenden Dateien auf Virencode.
  
  
• Virensuche führt Scan auf Befehl aus. Die Komponente besteht aus Aufgaben, jede von denen für die Prüfung von einer bestimmten Objektgruppe zuständig ist.

Das Hauptmittel zur Virenerkennung sowohl durch Datei-Anti-Virus als auch durch Virensuche ist Signaturanalyse. Signaturanalyse ermöglicht die Virenerkennung, indem der Dateiinhalt mit Signaturen von bekannten Viren verglichen werden., die in Antivirendatenbanken erhältlich sind.

Außerdem kann zur Erhöhung des Schutzes auch heuristische Analyse genutzt werden, die es ermöglicht, bekannte sowie unbekannte Viren zu erkennen, indem Start des zu überprüfenden Objekts emuliert wird und dessen emulierte Aktionen analysiert werden.

Die Aufgaben der Virensuche können zusätzlich Rootkits suchen, um verborgenen Objekte des Dateisystems erkennen und entfernen. Solche verborgenen Objekte sind üblicherweise Trojaner oder andere gefährlichen Programme.

Funktionsparameter der Dateiuntersuchung

Funktionsparameter der Dateiuntersuchung

• Schutzbereich — der Bereich, in dem Aktionen mit Dateien abgefangen werden (z.B. Festplatten, Netzwerklaufwerke, Wechseldatenträger)
  
  
• Dateitypen — die zu überprüfenden Dateiformate. Geprüft werden können alle Dateien insgesammt oder nur Dateien in Formaten, die potentiell infizierbar sind. Die Archivuntersuchung kann separat aktiviert oder deaktiviert werden
  
  
• Untersuchungsmodus — Aktionen, bei denen die Dateiuntersuchung erfolgt, sowie die zu verwendenden Analysemittel

Zur Optimierung des Ressourcenverbrauchs wird Datei-Anti-Virus meistens so eingestellt, daß nur Dateien in solchen Formaten untersucht werden, durch die eine Infizierung des Betriebssystems verursacht werden kann. Dateien in anderen Formaten (wie Textdateien) stellen nur eine potentielle Gefahr dar: Sie können zwar einen Virencode enthalten, verfügen aber über keine Mechanismen zu dessen Ausführung. Üblicherweise werden solche Dateien geprüft, wenn eine allgemeine Systemuntersuchung mit Virensuche durchgeführt wird.

Die Funktionsparameter können vollständig manuell oder aufgrund von Standardeinstellungen eingegeben werden, die als Sicherheitsstufen bezeichnet werden:

• Hohe Sicherheitsstufe ist solche Sicherheitsstufe, die den maximalen möglichen Schutz gewährt, weist aber auch einen hohen Ressourcenverbrauch auf
  
  
• Empfohlene Sicherheitsstufe ist solche Sicherheitsstufe, bei der Schutzniveau und Ressourcenverbrauch optimal zueinander passen
  
  
• Niedrige Sicherheitsstufe verbraucht möglichst wenige Systemressourcen, weist aber nur eine minimale, notwendige Schutz auf

Operationen von Datei-Anti-Virus

Im Ergebnis einer Untersuchung kann das Objekt als:

• nicht infiziert — der Viruscode wurde nicht festgestellt
• infiziert — der Viruscode wurde eindeutig identifiziert
• verdächtig — der in der Datei enthaltene Virencode ist einem Viruscode ähnlich

erkannt werden.

Wird bei der Untersuchung einer Datei, zu der Zugriff gewährt wird, festgestellt, daß diese Datei mit Viren infiziert ist, so sperrt Datei-Anti-Virus den Zugriff auf die Datei und führt die in den Einstellungen vorprogrammierte Aktion. Es sind folgende Aktionen möglich:

• den Zugriff verweigern und um weitere Aktionen anfragen — in diesem Fall erscheint ein Fenster, in dem der Anwender auswählt, ob ein Desinfizierungsversuch erfolgt, das gefährliche Objekt gelöscht oder keine Objektbearbeitung ausgeführt werden soll
  
  
• den Zugriff sperren und automatisch:
  • einen Desinfizierungsversuch unternehmen und, sollte die Desinfizierung unmöglich sein, die Objektbearbeitung nicht ausführen
  • einen Desinfizierungsversuch unternehmen und, sollte die Desinfizierung unmöglich sein, das Objekt löschen
  • das Objekt löschen, ohne zu versuchen, die Datei zu desinfizieren

Bevor das Objekt gelöscht oder desinfiziert wird, wird eine Sicherungskopie des Objekts angelegt und im Backup gespeichert; anhand dieser Sicherungskopie kann das Objekt nachher wiederherstellt werden.

Kaspersky Internet Security will not function without a license key. If the license key is not available during the installation, activation can be performed at a later date. If you choose to do this, the window, which prompts you to perform the activation will appear each time you launch Kaspersky Internet Security.

Verdächtige Objekte werden ähnlich bearbeitet, nur statt Desinfizierung werden die Dateien in Quarantäne verschoben und im Anfangsverzeichnis gelöscht.

Systemaufgaben der Virensuche

Während der Installation von Kaspersky Internet Security werden standardmäßig Systemaufgaben der Virensuche erstellt:

• Virensuche — Aufgabenvorlage zur Erstellung von benutzerdefinierten Untersuchungsaufgaben
  
  
• Arbeitsplatz — Aufgabe zur kompletten Untersuchung des Betriebssystems. Eine komplette Untersuchung sollte mindestens jede Woche erfolgen. Standardmäßig wird diese Aufgabe manuell gestartet
  
  
• Kritische Bereiche — Aufgabe zur Untersuchung von Systemobjekten, die meistens infiziert werden. Diese Aufgabe wird bei einem Verdacht auf Infizierung genutzt, falls eine komplette Untersuchung des Systems aus Zeitgründen problematisch erscheint. Standardmäßig wird diese Aufgabe manuell gestartet
  
  
• Autostart-Objekte — Aufgabe zur Untersuchung von Systemspeicher, Autostart-Objekten und Laufwerksbootsektoren. Die Aufgabe dient zur Erkennung von Viren, die beim Start des Betriebssystems gestartet werden. Standardmäßig wird diese Aufgabe bei jedem Start des Betriebssystems ausgeführt
  
  
• Rootkit-Suche — Aufgabe zur Untersuchung des Dateisystems auf verborgene Objekte. Standardmäßig wird diese Aufgabe automatisch ausgeführt
  
  
• Quarantäne-Untersuchung — Aufgabe zur Untersuchung von Dateien, die in die Quarantäne verschoben wurden. Die Aufgabe dient zur Präzisierung des Status von verdächtigen Dateien. Diese Aufgabe wird manuell oder. nach einem Update ausgeführt

Außerdem kann der Anwender eigene Untersuchungssaufgaben anlegen und Liste der zu untersuchenden Objekte erstellen sowie Funktionsparameter und Startmodus einstellen.

Funktionsparameter der Virensuche

Virensuche kann manuell oder automatisch gestartet werden. Beim automatischen Start sind folgende Varianten möglich:

• Start nach Zeitplan, Startzyklus 5 Minuten bis 23 Stunden
• An bestimmten Tagen der Woche oder. des Monats
• Beim Start der Anwendung
• Nach jedem Update

Andere Einstellungsgruppen für Virensuche sind Allgemeinen Einstellungen von Datei-Anti-Virus ähnlich:

• Untersuchungsbereich — zu überprüfende Objekte (Dateien, Ordner, Systemspeicher u.s.w.)
• Dateitypen — zu überprüfende Dateiformate
• Zusätzliche Analysemittel — heuristische Analyse und Rootkit-Suche
• Nach jedem Update
• Aktionen für gefundene gefährliche Objekte

Technologien iSwift und iChecker

Damit dieselbe Datei mehrmals nicht überprüft wird, werden von Datei-Anti-Virus und Untersuchungsaufgaben Technologien iSwift und iChecker verwendet.

Diese Techologien bestehen darin, daß eine Datei, die seit der letzten Ausführung des Virenscannens nicht geändert wurde, innerhalb der Zeitperiode nicht untersuchen wird, die dem Zeitabstand zwischen der ersten und der letzten Untersuchungen. Wenn eine Datei vor zehn Tagen gepüft wurde und nicht infiziert war, so wird diese Datei innerhalb der nächsten fünf Tage erst dann wiederholt überprüft, wenn es geändert wird.

Der Unterschied zwischen Technologien iSwift und iChecker besteht darin, daß iSwift zur Kontrolle der Dateiintegrität zu Marken des NTFS-Dateisystems, und iChecker — zu Prüfsummen der Dateien greift. Beide Technologien können gleichzeitig eingesetzt werden.

Datei-Anti-Virus nutzt immer sowohl iSwift als auch iChecker, um die zur Dateiuntersuchung benötigte Zeit zu reduzieren.

Auch Aufgaben für Virensuche verwenden standardmäßig iSwift und iChecker, aber im Menü Einstellungen der Aufgabe können diese Technologien deaktiviert werden.

Einstellung von Ausnahmen

In seltenen Fällen ist es nötig, bestimmte Objekte aus der Liste der zu überprüfenden Objekten zu entfernen. Dies kann z.B. der Fall sein, wenn eine bekanntlich nicht infizierte Datei als infiziert erkannt wird oder wenn der Anwender bewusst solche Produkte benutzt, die eine potentielle Gefahr darstellen. In solchen Fällen kann eine Regel erstellt werden, die eine Datei oder eine Gruppe von Dateien aus der Liste der von Datei-Anti-Virus und von Aufgeben für Virensuche zu überprüfenden Objekten ausschließt.

Datei-Anti-Virus kann möglicherweise auch die Arbeit einer Anwendung verlangsamen, die viele Operationen mit Dateien ausführt, ohne dass die Gefahr einer Infizierung des Betriebssystems zu schaffen. Als Beispiel kann eine Anwendung zum Defragmentierung der Festplatte bzw. zum Sicherheitskopieren dienen. Alle Operationen dieser Anwendungen mit Dateien können von der Untersuchung ausgeschlossen werden, indem diese Anwendung in die Liste zuverlässiger Anwendungen eingetragen werden.

Datei-Anti-Virus kann auch zeitplangesteuert oder beim Start einer bestimmten Anwendung provisorisch gestoppt werden.

Anwendung des Dateischutzes

Sie haben eine Möglichkeit, sich eine Demoversion des Einstellungsvorgangs von Datei-Anti-Virus und Aufgaben für Virensuche, sowie die Dezinfizierung von infizierten Dateien vorführen zu lassen. Sie können auch selbstständig die Programmkomponenten mit Hilfe der interaktiven Demoversion einstellen.

Back

Next