Anzeige

Am Puls von Microsoft

Anzeige

Was genau ist der Unterschied zwischen Verhaltensanalyse und Heuristik?

Da muss es doch einen Unterschied geben. In irgendeiner etwas älteren Chip-Zeitschrift habe ich gelesen, dass es für beides zwei jeweilige unterschiedliche Erklärungen gibt.

Ich glaube die waren so, sind die so richtig?>

Verhaltensanalyse: Aktives Verhalten wird beobachtet und wenn das Verhalten von einem Programm ähnlich mit dem von einem Schädling ist, dann wird das entsprechende Programm gemeldet.

Heuristik: Der Aufbau einer Datei wird unter die Lupe genommen. Ist durch den Aufbau erkennbar, dass potenziell schädliche Aktionen durchführbar sind, wird eine Datei als Schädling gemeldet.
 
Anzeige
ot:
habe ich mal hierhin verschoben, hat ja jetzt nicht wirklich was mit einem Progarmm oder PC-Problem zu tun
 
Jaein,

wäre die einzig klare Antwort.
Aber trotzdem hast du es ganz gut getroffen.

Wir reden jetzt hier nur über Malware, nicht über
Aktionen, die Lebewesen un/bewußt realisieren.

bei der Verhaltensanalyse wird der Programm-Ablauf eines Angreifer-Programms untersucht.
Weist dieser Ablauf Ähnlichkeiten mit bereits bekannter Malware auf,
wird er der bereits bekannten Klasse/Familie zugeordnet und als "Verwandter"
in die Heuristik aufgenommen.
Weichen die Ähnlichkeiten von den bisherigen Daten ab, obwohl sie schädlich sind,
wird die Malware in die Heuristik des AV-Programms als neuer Stamm aufgenommen.
Beide Informationen landen dann wiederum als Update beim Benutzer landet.

Die Heuristik für AV-Programme ist hier quasi das Nachschlagewerk
für die gefundenen (Programm-) Abläufe einer Malware, mit der dann
der Angreifer identifiziert werden kann.

Stimmen die Verhaltensmuster einer Malware mit denen,
in der Datenbank gespeicherten Information überein,
wird das AV-Programm aktiv.

Letztlich geht es um die Ähnlichkeit von Malware-Programmzeilen.
Eines haben alle Familien gemeinsam, meistens ist ein ein
Codeschnipsel an einer bestimmten Stelle.

Bestes Beispiel hierfür: Ein Hook
 
Etwas kompliziert der Text, den musst ich mehrmals lesen um ihn (oder dich) zu verstehen.

Dann zitiere ich einmal aus dem Chip-Forum von einem Redakteur (der Chip?):
"Dennoch ist das Argument, die Verhaltensanalyse erkenne nur bereits aktive Malware, berechtigt. Allerdings geht es hier um Schadcode, der der signaturenbasierten Erkennung und der Heuristik bereits durch die Lappen gegangen ist."

Hier sollte man entnehmen können:
- Die Heuristik ist nicht das Nachschlagwerk der Verhaltensanalyse, denn beides sind zwei unterschiedliche paar Schuhe, denn:
- Wenn Signaturen einen Schädling nicht erkennen und auch die Heuristik nicht ("Programm-/Datei-Muster-Schädlings-Erkennung"), dann muss die Verhaltensanalyse ran ("Verhaltens-Schädlings-Idendifikation").

So habe ich das ganze verstanden.
Quelle: Superwaffe gegen Malware - Firewall, Sicherheit - Forum - CHIP Online
 
Ich versuche auch gerade dein Verhalten zu analysieren. ::unsure:

Stellst Fragen, weißt im Hinterstübchen schon die Antworten und irgendwann platzt du mit diesem deinem??? Wissen heraus.

Klär mich mal auf was du mit dieser Vorgehensweise bezweckst. :rolleyes:
 
@Windowsenergi,

offenbar bringst du hier einges durcheinander.
Aber bevor du hier versuchst, die Semantik umzugekrempeln,
solltest du dir ein allgemein anerkanntes Definitionsbuch zulegen.

Wenn ein Code#Schnipsel noch nicht bekannt ist, kann auch kein Eintrag in
eine Datenbank erfolgen.

Nicht mehr und nicht weniger wird hier gesagt.

Und jetzt klinke ich mich aus deiner kompletten Geschichte aus,
denn es ist reine Zeitverschwendung, dir in deiner Weltanschauungs-Findung zu helfen,
das mußt du mit dir ausmachen, mir wird das zwar nicht zu kompliziert,
aber zu blöde.

Wenn jetzt noch ein Satz kommt, von wegen,
"Aber ich wollte doch nur...",
dann, ja dann empfehle ich dir, weniger gestrickte Themen auszudenken.

Diesen Frage- und Antwort-Spielchen hat mein Neffe zum Glück schon hinter sich gebracht,
er ist jetzt 7 Jahre alt.

Eine Frechheit ist das, tsts.
 
"Heureka:
Um auch neue Schädlinge zu erkennen, setzen die AV-Hersteller sogenannte heuristische Verfahren ein. Die versuchen, eine Datei anhand allgemeiner, eher unscharfer Kriterien zu beurteilen. Verwendet sie einen verdächtigen Laufzeitpacker? Wurde der PE-Header nachträglich manipuliert, um die Analyse zu erschweren? Oder finden sich in der Datei vielleicht Code-Sequenzen, die Registry-Einträge verändern? All das kann, muss aber nicht auf ein Schadprogramm hinweisen. Bei heuristischen Tests wird die untersuchte Datei nicht auf dem realen System ausgeführt."

"Verhaltenskontrolle

Als dritte Verteidigungslinie beim Virenschutz fungiert die Überwachung in Echtzeit. Verhaltenskontrolle – im englischen Sprachraum Behaviour Based Analysis – soll unbekannte Schädlinge anhand verdächtiger Aktivitäten entlarven. Verankert sich ein Programm via Registry dauerhaft im System, liest den Inhalt von Browser-Fenstern mit, setzt einen Hook auf Tastatureingabefunktionen des Systems und sendet dann noch Daten ins Netz, ist die Wahrscheinlichkeit hoch, dass es sich um ein Spionageprogramm handelt. Anders als bei der Heuristik läuft das Programm zum Analysezeitpunkt bereits – und zwar auf dem echten System."

von Hintergrund: Antivirenprogramme mit Sicherheitslücken - c't-TV .

So ähnlich habe ich das doch am Anfang auch erklärt. Findet ihr nicht?
 
Anzeige
Oben