So lässt sich eine Datei als Malware-frei identifizieren

"Sophos Decision Caching" verwendet das Prüfsummen-Prinzip

(04.10.07) - Unternehmen arbeiten Tag für Tag mit einer Vielzahl an Dateien - Texte, Tabellen, Präsentationen und Grafiken werden im Sekundentakt geöffnet, bearbeitet und gespeichert. Dabei besteht stets die Gefahr, dass diese von Viren befallen werden oder sich Würmer oder Trojaner einschleichen. Die Aufgabe eines effektiven On-Access-Schutzes ist es daher, Dateien beim Zugriff auf elektronische Schadprogramme zu untersuchen. Zwar bieten viele Antiviren-Programme diesen "Viren-Wächter" an, doch jede Datei wieder und wieder zu überprüfen, egal ob sie seit dem letzten Scan tatsächlich verändert wurde oder nicht, kann die Leistungsfähigkeit der Rechner enorm belasten. Um die Anzahl der notwendigen Virenüberprüfungen auf ein Minimum zu reduzieren, hat Sophos die so genannte "Decision Caching-Technologie" entwickelt.

Decision Caching greift auf die internen Prüfsummen des Betriebssystems zurück: Wird eine Datei geöffnet, errechnet das Betriebssystem aus der Bytefolge der Datei einen bestimmten Wert - die so genannte Prüfsumme. Die Errechnung der Prüfsumme erfolgt bei jedem Dateizugriff automatisch mithilfe eines sicheren Algorithmus. Die Zahlenwerte ermöglichen es, eine Datei eindeutig zu identifizieren. Denn selbst, wenn sich nur ein einziges Bit in einer Datei ändert, verändert sich die Prüfsumme deutlich. Die Decision Caching-Technologie nutzt nun diese Prüfsummen, um festzustellen, ob eine Datei seit der letzten Viren-Überprüfung verändert wurde. Dazu wird die aktuelle Prüfsumme mit der Summe verglichen, die beim letzten Zugriff ermittelt wurde.

Stimmen beide Werte überein, wurde die Datei zwischenzeitlich nicht verändert und kann gefahrlos geöffnet werden, da sie bereits als Malware-frei erkannt wurde. Weicht die neue Prüfsumme von der alten ab, wird eine Kopie der betreffenden Datei an die Virus Detection Engine von "Sophos Anti-Virus" zur Überprüfung gesendet. Ist sie virenfrei, kann die Datei geöffnet werden. Ist sie infiziert, verhindert der durch die Decision Caching-Funktion aktivierte Viren-Scanner, dass die Datei geöffnet werden kann. Nach jedem Viren-Check wird eine neue Prüfsumme erstellt - die vorherige wird damit ungültig.

Die IDs der überprüften Dateien werden im Cache von "Sophos Anti-Virus" gespeichert. Sobald eine neue Virenkennungsdatei (IDE) in "Sophos Anti-Virus" hinzugefügt wird, wird der Cache geleert und die Dateien werden beim Zugriff automatisch auf neue und bekannte Viren übergeprüft. Andernfalls bestünde das Risiko, dass eine Datei vor der Aktualisierung mit einem bislang unbekannten Schädling geöffnet und als virenfrei identifiziert wurde und nicht erneut überprüft wird.

Die Sophos Decision Caching-Technologie dient ausschließlich dazu, festzustellen, ob eine Virenüberprüfung für eine bestimmte Datei notwendig ist oder nicht - ob die Datei tatsächlich einen Virus enthält, prüft die Virus Detection Engine. Durch die Verwendung Betriebssystem-interner Prüfsummen lässt sich die Leistung des On-Access-Scanners erheblich steigern. (Sophos: ma)