Serie

Malware-Reihe

Wie Dernium Dateien von Schadcode befreit, statt nur zu warnen: Content Disarm and Reconstruction, Mehr-Engine-Scans mit heterogenen Scannern statt einem einzigen großen, und Sandboxing ohne Netzzugang mit gVisor und runsc. Die Verfahren hinter Dernium Clean und Scan.

3 Beiträge · chronologisch · Teil 1 oben

  1. Teil 1
    7 Min

    Dokumente entschärfen: Content Disarm and Reconstruction richtig gemacht

    Wie Dernium Clean aus einem eingehenden Dokument ein sicheres PDF baut, ohne jemals Inhalte aus dem Original zu vertrauen. Was das Verfahren CDR (Content Disarm and Reconstruction) leistet und was seine Grenzen sind.

  2. Teil 2
    7 Min

    Multi-Engine-Malware-Scan: warum mehrere heterogene Scanner statt einem großen

    Ein einzelner Virenscanner erkennt neue Samples in erstaunlich wenigen Fällen. Die Lösung ist nicht, einen besseren Scanner zu finden, sondern mehrere unterschiedliche zu kombinieren. Welche Engine-Familien es gibt, was jede einzelne gut kann und wie die Aggregation aussieht.

  3. Teil 3
    8 Min

    Sandbox ohne Netz: gVisor, runsc und die Kunst, einem Scanner das Internet wegzunehmen

    Container teilen sich den Host-Kernel. Für eine Malware-Scan-Pipeline ist das zu wenig. Warum gVisor als User-Space-Kernel die richtige zweite Schicht ist und wie ein Scanner gänzlich ohne Netzwerk gebaut wird.