Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Warum scannen Virenscanner alle Daten beim Zugriff?

Sovebämse / 5 Antworten / Baumansicht Nickles

Hallo zusammen

Etwas wundert mich ja schon ein wenig... warum scannt eigentlich ein Virenscanner "on-access" bei JEDEM Lese- und Schreibzugriff der Festplatte die Dateien, auf die zugegriffen wird? Ist doch völlig unlogisch, denn die Viren können nur über Internet und Wechselmedien hineinkommen. Wurde also eine Datei auf der Festplatte einmal gescannt und als virenfrei "gekennzeichnet", warum überprüft der on-access Scanner dann trotzdem jedesmal diese Datei wieder? Wäre dies nicht der Fall, müsste man über Geschwindigkeitseinbussen bei Anti-Virenscannern gar nicht mehr diskutieren. Trotzdem hat es aber bei einer Kopieraktion innerhalb der Festplatte immer einen mehr oder weniger grossen bis sehr grossen Einfluss, ob und welches Antivirenprogramm läuft.

Kann mir das mal jemand erklären... Oder kann ich das ev. sogar konfigurieren, dass er dies nicht mehr tut?

bei Antwort benachrichtigen
Andreas42 Sovebämse „Warum scannen Virenscanner alle Daten beim Zugriff?“
Optionen

Hi!

Ich habe NOD32 3.0 im Einsatz, da kann ich im Einstelldialog festlegen, welche Zugriffe "über" den Online-Scanner laufen (Öffnen, Erstellen, Ausführen; jeweils getrennt aktivierbar). Ich habe alle drei Aktionen aktiviert.

Ich denke, dass wird gemacht, da Viren durchaus die Scannkennung von Dateien modifizieren könnten, wenn man solch einen Trick nutzt. Zudem gibt es keine im Dateisystem verankerte Kennung (Flag) für "Virenfrei". Da müsste man also immer etwas an der Datei modifizieren, was zu Kompatbilitätsproblemen führen könnte. Es gab' so einen Ansatz schon einmal zu DOS-Zeiten. Da hat ein Virenscanner (McAffee?) die Dateien "geimpft" (mit einer Prüfsumme versehen), um so schnell prüfen zu können, ob die Datei unerlaubterweise modifiziert wurde.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Sovebämse Andreas42 „Hi! Ich habe NOD32 3.0 im Einsatz, da kann ich im Einstelldialog festlegen,...“
Optionen

Ja aber es sollte ja gar nicht zu einer Modifikation einer Datei kommen, wenn der Virenscanner on-access alles was NUR vom Internet / via Ethernet reinkommt, scannt und dann Alarm schlägt. Alle anderen Dateien sind ja sicher. Der Virenscanner könnte ja eine LOG-Datei anlegen, wo alle Dateien erfasst sind, die schon einmal gescant waren. Falls doch ein Virus reinkam per Internet, kann man ja immer noch per On-Demand Scanner alles manuell scannen.

bei Antwort benachrichtigen
Andreas42 Sovebämse „Ja aber es sollte ja gar nicht zu einer Modifikation einer Datei kommen, wenn...“
Optionen

Hi!

Es gibt durchaus Virenscanner, die den Internetzugriff überwachen (also die heruntergeladenen Dateien). Sich aber nur darauf zu beschränken? Ich wiess nicht, ob ich das wirklich empfehlen soll.

Mein Nod32 hat da ebenfalls einstellungen, aber da müsste ich mich erst tiefer reinfuchsen, damit ich damit alles dicht machne könnte. Man muss z.B. festlegen, welche Programme als Downloadtool überwacht werden soll. Da müsste ich erstmal geziehlt nachlesen und ausprobieren. Ob sich das lohnt, weiss ich nicht. Nod32 gilt schon als recht flott, was seine Scanleistung betrifft. Da ich flüssig arbeiten kann (auf einem Notebook mit 1,7Ghz und 2Gbyte RAM und einem alten PIII Tualatin Celeron 1200 mit 512MByte RAM) sehe ich da aktuell keine Notwenigkeit für Tuningmassnahmen.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Conqueror Sovebämse „Ja aber es sollte ja gar nicht zu einer Modifikation einer Datei kommen, wenn...“
Optionen

noch Trojaner sind intelligent programmierte Mistviecher. Die können sich so mutieren nach einem Rechnerrebbot, dass die Virenscanner dagegen blind sind und dann Ihre Kollegen via Internet Port 80 nachladen. Das merkst Du nicht mehr, wenn Du nicht einen aktiven TCPIP Scanner mitlaufen lässt.

bei Antwort benachrichtigen
nemesis² Sovebämse „Warum scannen Virenscanner alle Daten beim Zugriff?“
Optionen

Das hat schon seinen Sinn, denn wenn die Dateien lange auf der Platte schlummern und schon tausendmal (unverdächtig) gescannt wurden, können die trotzdem infiziert(infizierend) sein. Mit jedem Update (teils stündlich) bekommt der Virenscanner neue Definitionen damit wird eventuell eine Anwendung (bzw. Datei), die schon lange unverdächtig auf der Platte schlummerte als Malware erkannt.

Andernfalls wäre die ausgeführt worden und hätte das System infiziert. Der Virenscanner hat on-access so schlimmeres verhindert. Naja, zumindest wenn er denn mal einen Treffer landet, denn die Erkennungsrate ist nicht so toll und wird erst noch zum Problem.

Die andere Lösung der Performancebremse ist nur den On-Demand-Scanner zu verwenden (so alle paar Wochen mit neuem Update) und sämtliche gesaugten Anwendungen etc. nur in der DAU-Zone auszuführen. So mache ich das. Der Virenscanner ist nur ein Hilsfmittel, keineswegs ist er aber das Standbein der Systemsicherheit. Würde ich den benötigen um aktuell "Bedrohungen abzuwehren", hätte ich irgend etwas falsch gemacht.

Malware kann übrigens auch über nagelneue Geräte (z. B. MP3 Player) eingeschleppt werden oder sogar beim Kauf des nagelneuen PC/Notebooks bereits drauf sein!

http://www.computerworld.ch/aktuell/news/38114/

http://www.heise.de/newsticker/Aldi-Notebook-mit-Virus-an-Bord-2-Update--/meldung/95886

Wenn der Hersteller nicht mal die harmlosen Varianten unter Kontrolle hat, wie soll das erst bei den harten Sachen sein?

bei Antwort benachrichtigen