Der Emsisoft Dual-Engine Scanner Behind the scenes


Die grundsätzliche Scan-Methodik zum Aufspüren von virtuellen Schädlingen existiert beinahe so lange, wie es PCs gibt. Doch ähnlich der schon über 100 Jahre existierenden Automobilindustrie, gibt es immer wieder sinnvolle Erfindungen und weitreichende Verbesserungen.

Die Emsisoft Scantechnologie kommt natürlich ohne ABS oder ESP aus, dafür sorgen unter der Haube aber etliche Details und Innovationen für die Sicherheit Ihrer Daten. Im Vordergrund steht neben der Schutzwirkung dabei die Leistung – mehr als 12 Millionen Signaturen (Stand November 2012) müssen so effizient gehandhabt werden, dass kein spürbarer Einfluss auf den Computer entsteht.

Entwickler von Sicherheitsprogrammen stehen entsprechend immer wieder vor neuen Herausforderungen, sei es durch neue Bedrohungsszenarien oder den Wunsch der Anwender nach mehr Komfort. Scanner ist daher nicht gleich Scanner – jener von Emsisoft gehört seit einiger Zeit zu den besten der Welt. Grund genug, die Technologie und progressive Funktionen einmal genauer zu beleuchten.

Zwei Engines finden mehr als eine

Bei Emsisoft wird auf Hybrid-Technik gesetzt. Der Scanner basiert auf gleich zwei vollwertigen Scanner-Komponenten, um die bestmögliche Erkennung zu gewährleisten. Täglich entstehen zehntausende neue Malware-Varianten. Auch wenn die meisten davon nur leicht modifizierte Abwandlungen verbreiteter Typen sind, muss dem Scanner für jede einzelne eine Erkennungs-Signatur (eine Art Fingerabdruck) zur Verfügung stehen. Das Motto „Doppelt hält besser“ macht auch hier Sinn: Zwei Scanner erkennen mehr als einer.

Die erste Engine (E1) ist eine Emsisoft Eigenentwicklung, die zweite (E2) kommt ab Emsisoft Anti-Malware 7.0 und dem Emergency Kit 3.0 von BitDefender. BitDefender ist für eine sehr gute allgemeine Erkennungsrate in Kombination mit wenigen Fehlalarmen bekannt, daher kommt die Fremd-Engine mit zum Einsatz. Da „sehr gut“ in Punkto Computersicherheit nicht ausreichend ist, ist die Emsisoft-eigene Engine für spezielle Härtefälle sowie eine einwandfreie Säuberung zuständig. Sie wird durch ein Team von Security-Experten und Analysten rund um die Uhr mit neuen Signaturen versorgt. Diese bewegen sich in düsteren Underground-Foren und auf den etlichen illegalen Warez-Seiten in den Tiefen des World Wide Web, um neueste Malware-Trends und Infektionswellen zu erkennen, bevor diese Ihren Computer erreichen.

Zusammen kombiniert ergeben die beiden Technologien den Ferrari unter den Malware-Scannern und sind für top Erkennungsraten weltweit bekannt.

Zwei Scaneinheiten und trotzdem sportlich schnell

Apropos Ferrari: Wer nun gedacht hat, zwei Engines auf einmal müssten relativ langsam und speicherhungrig sein, der irrt. Für genau das Gegenteil sorgt eine Reihe technischer Raffinessen. Zunächst einmal werden alle doppelten Signaturen entfernt, so dass keine Redundanz entsteht und jede Malware immer nur von einer Engine erkannt wird. Das wirkt sich sowohl auf den Speicherbedarf, als auch die Geschwindigkeit positiv aus.

Außerdem wurden beide Engines über die vergangenen Jahre hinweg auf unterster Ebene optimal aufeinander abgestimmt, genauso wie der italienische Sportwagenhersteller die Timings aller Zylinder in mühsamer Ingenieursarbeit optimiert hat. Der Entwicklungsaufwand ist zwar auch in der Softwarewelt durch die entstehende Komplexität relativ hoch, dafür laufen beide Scan-Engines zusammen schneller und effizienter als viele Mitbewerber-Produkte mit nur einer einzelnen Engine. Tatsächlich ist es fast immer die Festplatte des Computers, die den Flaschenhals und damit das Tempolimit darstellt. Lediglich topaktuelle SSD-Festplatten können die Daten schnell genug einlesen, damit sich die Scan-Engine während der Scans nicht langweilt.

Emsisoft geht noch einige Schritte weiter bei der Geschwindigkeitsoptimierung. So sorgt das Erweiterte Caching dafür, dass eine Datei bei mehrfachen Zugriffen vom Dateiwächter nicht immer wieder gescannt wird. Der Effekt ist relativ groß, da Windows im Betrieb eine Vielzahl von bestimmten Dateien häufig einliest. Beispielsweise wenn Sie ein Programm öffnen, es irgendwann wieder schließen und später erneut laden. Wenn eine Datei in der Zwischenzeit nicht geändert wurde und sich vorher bereits über längere Zeit als „sauber“ erwiesen hat, sind erneute Scans natürlich nicht relevant und vergeuden nur Systemressourcen. Genau das verhindert das Erweiterte Caching und beschleunigt so das System laufend.

Die durch Emsisoft verursachte CPU-Auslastung bei einem Scan haben Sie übrigens voll und ganz selber in der Hand. Nicht nur professionelle Anwender schätzen die neuen Performance Einstellungen, bei denen die Anzahl der verwendeten CPUs und Threads ausgewählt werden kann. Diese Einstellungsmöglichkeit finden Sie bei der Auswahl des Scanmodus. Mit Vollgas schnell ans Ziel, eine längere Scanlaufzeit bei genug Ressourcen für andere Aufgaben oder ein Mittelweg – alles ist möglich.


 

Der Emsisoft Scanner findet, was vor Windows verborgen bleibt

Leider sitzen nicht nur auf der Entwicklungsseite von Anti-Virus Software findige Ingenieure und Programmierer. Auch in der Malware-Industrie bewegen sich einige kluge Köpfe, die versuchen, ihre Schadprogramme so gut es geht zu verschleiern. Ist das Betriebssystem erst mal durch eine Infektion kompromittiert, können schädliche Prozesse und Dateien vor Scansoftware verborgen werden. Vor allem Rootkits sind für genau diese heimtückische Verfahrensweise bekannt.

Aber Sie müssen sich jetzt keine Sorgen machen, denn Emsisoft löst dieses Problem mit dem Direct Disk Access Modus
(Deutsch: Direkter Festplattenzugriff). Dabei wird dem Namen entsprechend die Windows-Schnittstelle zum Einlesen von Dateien geschickt umgangen und die Daten werden direkt von der Festplatte des Computers gelesen. Der Emsisoft Dual-Engine-Scanner erhält damit wie durch einen Tunnel direkten Zugriff auf die relevanten Sektoren der Festplatte. Somit können auch gut getarnte Schadprogramme in ihrem Versteck aufgespürt werden.

Falls Sie sich nun fragen sollten, wieso nicht generell der Direkte Festplattenzugriff (DDA) verwendet wird: Er hat den Nachteil, dass das Einlesen länger dauert als über Windows. Aber es werden alle sicherheitsrelevanten Abschnitte zuverlässig gescannt, namentlich die Windows Treiber und die Bootsektoren. Selbstverständlich können Sie wahlweise auch Ihre gesamte Festplatte per DDA scannen. Aktivieren Sie dazu einfach die Option „Direkten Festplattenzugriff verwenden“ bei einem Eigenen Scan.


Ein weiteres technisches Highlight stellt die Option „Scanne in NTFS Alternate Data Streams“ dar. Bei diesen alternativen Datenströmen handelt es sich um eine Funktion, anhand derer Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. Die Verfahrensweise ist nur wenigen bekannt, wird aber durchaus von Malware verwendet, um Hauptdateien zu tarnen. So kann eine Malware.exe von 2 MB Größe komplett unsichtbar für den Windows Explorer in einem zweiten Datenstrom einer harmlosen 100 KB großen .doc Datei versteckt sein. Daher sollte die Option immer aktiviert bleiben.

Wie oft sollte man den PC scannen?

Gute Nachrichten: Sofern Sie Emsisoft Anti-Malware in der Vollversion verwenden, reicht ein einzelner und vollständiger initialer Scan. Dieser wird nach der Installation durchgeführt und sollte nicht übersprungen werden. Solange Sie den Dateiwächter nicht deaktivieren, wird automatisch jede Datei, die geladen oder geschrieben wird, gescannt. Das unbemerkte Eindringen einer Schaddatei ist damit bereits fast unmöglich.

Alternativ haben Sie die Möglichkeit, Scantermine zu planen. Dies geschieht ganz einfach über „Einstellungen“ – „Geplanter Scan“. So können Sie beispielsweise Ihren Computer jeden Freitag Nachmittag nach getaner Arbeit scannen lassen – oder auch alle 12 Stunden. Ihren Wünschen sind hier kaum Grenzen gesetzt, auch individuelle Einstellungen was bestimmte Speicherorte oder Dateitypen angeht sind problemlos möglich.


Übrigens erkennt der Echtzeitschutz auch neu angesteckte Datenträger wie USB-Sticks oder externe Festplatten. Sobald infizierte Daten kopiert werden, schlägt der Dateiwächter Alarm. Ein gesondertes Scannen ist daher eigentlich nicht notwendig. Emsisofts Ziel ist, dass Sie den Computer sorgenfrei nutzen können und den Schutz gar nicht erst bemerken; es sei denn Sie werden von einem Schadprogramm attackiert.

Bei einer Infektion: Malware wird zuverlässig entfernt

Wenn ein Virenscanner brav seinen Dienst verrichtet und eine Infektion meldet, möchte man diese natürlich schnellstmöglich entfernen. Aus diesem Grund verfügt selbstverständlich auch die Emsisoft Scantechnologie über eine Reinigungsfunktion. Was man zunächst nicht denken mag: Das sogenannte „Cleaning“ ist eine der kompliziertesten Funktionen überhaupt. Denn ein einfaches Löschen der gefundenen Datei reicht heutzutage in den seltensten Fällen. Malware „vergräbt“ sich oft tief in System und hinterlässt an verschiedensten Orten Fragmente. Vor allem viele kostenfreie Scanner versagen hier und sind nicht dazu in der Lage, einen Fund auch sicher zu entfernen.

Die Überraschung ist dann groß, wenn sich Malware auf unerklärliche Weise nach jedem Löschvorgang selber repliziert und weiter auf dem Computer aktiv ist als wäre nichts gewesen. Noch schlimmer: Beim unsachgemäßen Entfernen kann leicht das Betriebssystem so sehr in Mitleidenschaft gezogen werden, dass es nicht mehr korrekt startet und eine Neuinstallation notwendig ist. Oft wird dieser Umstand dann dem Schadprogramm in die Schuhe geschoben und nicht dem Scanner.

Damit genau das nicht passiert und auch hartnäckige Malware-Exemplare restlos entfernt werden können, verfügt der Emsisoft Dual-Engine-Scanner über einen Traces-Scan (Englisch „trace“ = „Spur“). Dieser spürt alle durch die Malware erzeugten Dateien, Verzeichnisse und Registry Einträge auf, so dass diese sauber gelöscht werden können. Sogar Originalwerte aus Systembereichen von Windows können oft nach einem Befall wiederhergestellt werden. Einer Neuinstallation können Sie daher selbst nach einem Malware-Befall fast immer entgehen.

Dennoch ist es keinem Scanner möglich, jede Infektion auch wieder zu entfernen – selbst dem Emsisoft Dual-Engine Scanner nicht. Vor allem aktive Rootkits lassen nur schwerlich automatisch löschen, da sie im Bootsektor oft irreparable Schäden hinterlassen. Grundsätzlich könnte man zwar für jede Variante jeweils eine eigene Cleaning-Routine schreiben, aber bei der Vielzahl an neuen Rootkits ist das manuelle Entfernen einfach sicherer. So ergibt sich erst gar nicht die Gefahr eines zerstörten Betriebssystems. Der Clou: Emsisoft leistet deshalb beim Löschen von Malware kostenfreie Hilfe. Die Security Experten sind über das Support Forum oder per E-Mail jederzeit für Sie erreichbar, wenn Sie Hilfe benötigen.

 

Eine Malware freie Zeit wünscht

Ihr Emsisoft Team

www.emsisoft.de

Arief Prabowo

Weitere Artikel