Snakebyte has written
19.) ---
F: Wie erkennt ein Virenscanner Viren ?
A: Da gibt es mehrere Möglichkeiten. Die häufigste besteht darin alle Dateien oder Speicherbereiche
mit einer Byte-Abfolge (Suchstring) zu vergleichen, die für einen bestimmten Virus
typisch ist und in keinem normalen Programm vorkommt. Dabei können in dem String auch
Wildcards (?,*) enthalten sein, so das auch Viren gefunden werden, die ihren Code leicht
verändert (Polymorphe). Eine andere Möglichkeit (Heuristik) besteht darin gewisse
Programmteile (Delta Offset Routine, '*.exe' / '*.com', Verschlüsselungsroutine...)
zu suchen und wenn sie im Übermaß auftauchen wird die Datei als Infiziert gemarkt.
Die Methode die zum Auffinden unbekannter Viren am Besten taugt ist die Emulation.
Dabei wird jede Datei behandelt als ob sie ausgeführt werden würde, wenn man dann
bei diesem Schein-Ausführen bemerkt das der Code der Datei an eine andere gehängt werden
soll (oder ähnlich virentypisches Verhalten) wird sie als verdächtigt angezeigt.