Eine Malware-Erkennungs-Engine ist der Teil Ihrer Antivirus-Software, der bösartige Programme tatsächlich identifiziert.
Die ersten Viren waren Experimente, die von Forschern und Bastlern entwickelt wurden, von denen einige auch gezielte Antivirenprogramme entwickelten, die darauf ausgelegt waren, nach einem bestimmten Virus zu suchen und ihn zu entfernen, falls er gefunden wurde.
Die ersten Breitspektrum-Virenerkennungstools (die jeweils von G Data, John McAfee und den Gründern von Set hergestellt wurden) kamen 1987 auf den Markt und suchten nach eindeutigen Codefolgen, die mit bestimmten Viren in Verbindung stehen. Sie versuchten auch, einen Computer zu „immunisieren“, indem sie bestimmte Dateien modifizierten, um Viren den Eindruck zu vermitteln, dass das System bereits infiziert war.
Die Zahl der Viren nahm schnell an Komplexität zu, und viele führten Gegenmaßnahmen ein, die darauf abzielten, Antivirus-Tools zu deaktivieren. Die Malware-Erkennungs-Engine begann mit der Suche nach kryptografischen Dateien Hash-Signaturen anstelle von bestimmten Code-Strings.
Wenn jede Binärdatei einen eindeutigen Hash hat, ist es möglich, eine schädliche Datei zu erkennen, unabhängig davon, wie sie heißt, solange sie dieselben Daten enthält wie die, die Sie zum Erstellen des Hashs verwendet haben. In der Praxis kann es vor allem bei älteren Hashing-Algorithmen passieren, dass man aus reinem Zufall den gleichen Hash aus zwei völlig unterschiedlichen Dateien erhält, was dazu führt, dass Dateien fälschlicherweise als Viren identifiziert werden – wir nennen das „False Positive“.
Um dem entgegenzuwirken, tauchten polymorphe Viren auf, die darauf ausgelegt waren, ihren Code zu verändern, wenn sie sich selbst kopierten, während sie ihre bösartige Nutzlast beibehielten. Erkennungs-Engines fügten „heuristische Scanning“-Funktionen hinzu, die anstelle einer allgemeinen Dateisignatur Binärdateien dekompilieren und nach bekanntem Code von vorhandener Malware und bekannt bösartigem Verhalten suchen, wodurch es wahrscheinlicher wird, dass neue Malware-Varianten erkannt werden.
„Echtzeitschutz“ anstelle von On-Demand-Scans wurde zur Norm, insbesondere mit Antivirus-Tools unter Windows, die darauf ausgelegt sind, neue Dateien, Installationen, verbundene Speicher und mehr automatisch zu scannen. Da die meisten PCs heutzutage ständig mit dem Internet verbunden sind, ist die Erkennung von Malware in Echtzeit viel wichtiger geworden.
Antivirenprogramme senden potenziell bösartige Dateien zur weiteren Analyse nach Hause und tragen so zur Genauigkeit der Datenbanken bei, die ihren Benutzern zur Verfügung gestellt werden – je mehr Benutzer, desto mehr Proben. Dies ist ein Grund für die dramatische Verbesserung der Genauigkeit von Microsoft Defender in der Windows 10-Ära.
Dank der Verbreitung von Hochgeschwindigkeits-Internetverbindungen und massiver Leistung von Online-Servern entsteht jetzt „Cloud-Antivirus“. Die Malware-Analyse wird aus der Ferne durchgeführt, wodurch die Belastung einzelner Geräte reduziert wird, obwohl Sie ein paar unterschiedliche Definitionen darüber finden werden, was genau „Cloud-Antivirus“ ausmacht, je nachdem, wer versucht, Ihnen was zu verkaufen.
Derzeit ist echtes Cloud-AV mit Echtzeitanalyse verdächtiger Dateien aus der Ferne am häufigsten eine Funktion des kommerziellen Endgeräteschutzes für Unternehmen, aber das Google-eigene Virus Total bietet Cloud-basiertes On-Demand-Scannen auf vielen verschiedenen Wegen Erkennungs-Engines, die sowohl über seine Webseite und seine Browser-Plug-Ins, die das übliche Antiviren-Setup Ihres Computers ergänzen.
