{"version":1,"type":"rich","provider_name":"Libsyn","provider_url":"https:\/\/www.libsyn.com","height":90,"width":600,"title":"#0109 - Was ist eigentlich eine heuristische Analyse?","description":"Kontakt: Ingo L\u00fccker, ingo.luecker@itleague.de Heute dreht sich alles um das Thema: \u201eWas ist eigentlich eine heuristische Analyse?\u201c  Bevor ich Ihnen die Frage beantworte, m\u00f6chte ich Ihnen zun\u00e4chst einmal erkl\u00e4ren, was Heuristik eigentlich ist. Der Begriff Heuristik stammt aus dem Griechischen und bedeutet so viel wie auffinden oder entdecken. Die Heuristik ist, einfach formuliert, die Lehre des Gewinnens neuer Erkenntnisse auf methodischem Weg. Kommen wir also zur\u00fcck zu der Ausgangsfrage: Was ist eigentlich eine heuristische Analyse? Bei einer heuristische Analyse handelt es sich um eine Methode zur Virenerkennung. Hierbei untersucht die Heuristik den Code einer Datei nach verd\u00e4chtig erscheinenden Befehlen und Merkmalen. Wenn sie einen verd\u00e4chtigen Befehl erkennt, erh\u00f6ht sie den \u201cVerd\u00e4chtigkeitsz\u00e4hler\u201d f\u00fcr die Datei. Wenn der Wert des Z\u00e4hlers nach Untersuchung des gesamten Codes einen vordefinierten Grenzwert \u00fcberschreitet, wird die Datei als verd\u00e4chtig eingestuft. Der Vorteil der heuristischen Analyse im Vergleich zu signaturbasierten Virenprogrammen ist, dass man nicht nur bekannte Viren, sondern auch neue und modifizierte Viren finden und erkennen kann. Virenprogramme die rein auf Signaturbasis arbeiten, k\u00f6nnen gef\u00e4hrliche Viren nur dann als sch\u00e4dlich einstufen, wenn diese bereits bekannt sind und analysiert wurden. In der heuristischen Analyse kommen grunds\u00e4tzlich zwei verschiedene Techniken zum Einsatz: Die statische Heuristik und die dynamische Heuristik. Bei der statischen Heuristik erfolgt eine Dekompilierung, also das R\u00fcck\u00fcbersetzen, eines verd\u00e4chtigen Objekts (Programm oder Datei) und die Untersuchung des Quellcodes. Dieser Code wird dann mit Virensignaturen verglichen, die bereits bekannt sind und sich in der heuristischen Datenbank befinden. Sobald ein vordefinierter Prozentsatz des Quellcodes mit Informationen in der heuristischen Datenbank \u00fcbereinstimmt, wird das Objekt als verd\u00e4chtig eingestuft. Die Vorteile dieser Methode liegen in der einfachen Umsetzung und hohen Leistungsf\u00e4higkeit. Die Erkennungsrate von neuem sch\u00e4dlichem Code ist jedoch gering, die Wahrscheinlichkeit von Fehlalarmen dagegen hoch.  Bei einer dynamischen Heuristik werden verd\u00e4chtige Programme oder Code-Teile in einer sicheren virtuellen Umgebung oder einer Sandbox ausgef\u00fchrt. Das hei\u00dft, dass ein Antivirenprogramm den verd\u00e4chtigen Code analysiert und alle Befehle, die durch das Aktivieren des Codes auftreten, wie Selbstreplikation, das \u00dcberschreiben von Dateien und andere Aktionen, dokumentiert. Wenn das Antivirenprogramm w\u00e4hrend einer Testausf\u00fchrung Aktionen erkennt\/ findet, die als verd\u00e4chtig einzustufen sind, wird das entsprechende Objekt f\u00fcr die reale Ausf\u00fchrung auf einem Computer komplett blockiert und der Virus somit unsch\u00e4dlich gemacht. Im Vergleich zur statischen erfordert die dynamische Methode mehr Systemressourcen, da f\u00fcr die Analyse eine sichere virtuelle Umgebung erforderlich ist und die Ausf\u00fchrung von Programmen auf dem Computer bis zum Abschluss der Analyse verschoben wird. Allerdings ist die Erkennungsrate von Schadprogrammen bei der dynamischen Methode entschieden h\u00f6her als bei der statischen Methode und die Wahrscheinlichkeit von Fehlalarmen ist wesentlich geringer. Bevor ich zum Schluss komme m\u00f6chte ich festhalten, dass die heuristische Analyse heutzutage eine zentrale Komponente in Antivirenprogrammen spielt. Moderne Antivirenprogramme kombinieren sowohl die statischen als auch dynamischen Analysemethoden, um sch\u00e4dliche Viren, virusartiges Verhalten und verd\u00e4chtige \u00c4nderungen an Dateien umgehend zu erkennen und unwirksam zu machen. Dadurch lernt sie auf diese Weise selbstst\u00e4ndig, neue Gefahren zu entdecken. Au\u00dferdem kann man bei einer heuristischen Analyse im Vorfeld die Genauigkeitsstufen f\u00fcr die Untersuchung festlegen. Allerdings m\u00f6chte ich erw\u00e4hnen, dass man die Heuristik sorgf\u00e4ltig abstimmen muss, um die bestm\u00f6gliche Erkennung neuer Bedrohungen zu bieten, ohne einen Fehlalarm f\u00fcr v\u00f6llig unschuldigen Code zu generieren. ","author_name":"IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert","author_url":"https:\/\/www.itleague.de","html":"