Antivirus gegen Malware: Schadsoftware verstecken und finden

Malware versucht sich der Beobachtung von Antivirensoftware zu entziehen. Beide interagieren dabei mit dem Windows-Kernel auf ähnliche Weise.

Artikel verschenken

11.06.2024, 14:00 Uhr

Lesezeit: 15 Min.

iX Magazin

Von

Marius Schwarz
Tobias Wicke

Antivirus gegen Malware: Schadsoftware verstecken und finden
Neuen Thread erstellen
Hooks loswerden
Syscalls ohne Windows-Bibliothek verwenden

Artikel in iX 7/2024 lesen

Schadsoftware gibt es nahezu so lange wie legitime Software, und wie diese hat sie eine lange Evolution hinter sich. Aktuell eingesetzte und entwickelte Schadprogramme von bekannten Angreifergruppen sind hochkomplex und müssen viele Herausforderungen gleichzeitig meistern. Malwarefunktionen lassen sich grob in vier Gruppen einteilen: Infiltration, Nachladen von Schadcode, die eigentliche Schadfunktion und Tarnung.

Das Wichtige für einen Angreifer ist das Ziel des Angriffs. Die Schadsoftware muss also entsprechende Funktionen haben, um die zuvor definierten Ziele zu erreichen. Eine Ransomware muss beispielsweise in erster Linie Daten ver- und auch wieder entschlüsseln können. Dazu kommen Funktionen zum Nachladen von Komponenten, denn in der Regel wird nicht die gesamte Malware als Komplettpaket verteilt. Stattdessen ist der erste Teil dafür zuständig, das Zielsystem zu infiltrieren. Anschließend lädt er die eigentliche Schadsoftware nach und führt sie dynamisch aus.

Marius Schwarz arbeitet seit sechs Jahren als Penetrationstester und Red Teamer. Neben klassischen Penetrationstests hat er Erfahrung in der Leitung von Red- und Purple-Teaming-Projekten.

Schließlich soll die Malware auch unentdeckt bleiben. Funktionen, die Antivirensoftware (AV-Software) erkennen und umgehen, gehören deshalb genauso dazu wie Möglichkeiten, zu erkennen, ob die Malware gerade in einer Sandbox zur Analyse läuft, und das Verhalten entsprechend anzupassen. In diesem Artikel soll es darum gehen, wie AV-Software Schädlinge erkennt und wie diese sich der Beobachtung entziehen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Alternative WireGuard-App für Android: WG Tunnel im Test

WG Tunnel ist so flink wie das Original. Zusätzlich bietet die App Extras wie eine Automatik, die in fremden Netzen selbstständig einen VPN-Tunnel aktiviert.

Netzwerkspeicher im Test: 2,5- und 10-GBit/s-NAS von Ugreen

Ugreen tritt im NAS-Markt als Neuling an. Wir haben das Einstiegsmodell DXP2800 und das günstigste Gerät mit 10-Gigabit-Ethernet DXP4800 Plus erprobt.

Fritzbox 7690 im Test: AVMs schneller DSL-Router mit Wi-Fi 7

AVMs Fritzbox 7690 bietet schnelles Wi-Fi-7-WLAN und bringt das Internet per Telefonleitung ins Haus.

Kühlen mit der Wärmepumpe: Wenn die Fußbodenheizung Kälte liefert

Wärmepumpen heizen nicht nur effizient, sie können Wohnräume auch kühlen. Was das fürs Verteilsystem bedeutet und welche Temperaturen möglich sind.

, Ki generiert mit Midjourney von Madlen Grunert

Internet aus der Steckdose: Mit Powerline das Netz in der Wohnung verteilen

Powerline-Adapter helfen, wenn das WLAN nicht bis in die letzte Ecke von Haus und Grundstück reicht. Wir testen fünf Sets, die alle eigenes WLAN mitbringen.

Wie im Kino! Die analoge Fotografie hat noch immer ihre Berechtigung, wenn man auf der Suche nach einem klassischen, authentischen Look ist. Der Kontrast und das Rauschen des Chemiefilms sind mit digitalen Filtern nur schwer zu simulieren.Canon AE-1 mit 50 f/1.8, offenblendig. Film: Ilford Delta 400 135-36 (400 ASA). Push-Entwicklung +1 EV. , Model: Miri Be, Co-Fotograf Michael Eichelsbacher

Filmfotografie: Analog durch die Nacht

Der analoge Look von Künstlern wie Lindbergh oder Dennis Stock lässt sich mit einer Digitalkamera kaum erreichen. Warum also nicht mal wieder Film nutzen?

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}