Heuristische Analyse verschleierter Malware

Die statische Analyse mittels Virensignaturen hat sich quasi zum Standard in der Malwarebekämpfung entwickelt. Dabei wird im Binärcode nach einer eindeutigen Byte-Folge, dem Fingerabdruck der gefährlichen Software, gesucht. Allerdings ist es mit diesem Verfahren nicht möglich, Malware zu erkennen, für die noch keine eindeutige Signatur existiert.Auch der vermehrte Einsatz von Verschleierungsmechanismen, wie die Verschlüsselung oder metamorphe Routinen, erfordert die Unterstützung von semantischen Analyseverfahren. Dabei wird nicht die Byte-Folge, sondern das Verhalten von gefährlicher Software untersucht. Neben der Integritätsprüfung und den Behavior-Blockern hat sich besonders die heuristische Analyse als generisches Erkennungsverfahren etabliert. Sie erlaubt es, die Einschränkungen von statischen Analyseverfahren zu beheben und unbekannte Malware anhand ihres Verhaltens zu identifizieren.Auch Verschleierungsmechanismen weisen, je nach Art der Implementierung und Umsetzung, stärkere oder schwächere Verhaltensmuster auf. Daher machen besonders die verhaltensanalytischen Eigenschaften der Heuristik, diese zu einem geeigneten Kandidaten in der Malware-Erkennung.