Diese Sammlung gehört zusammen: 3 Beiträge unter der Serien-Marke malware, chronologisch geordnet. Teil 1 oben, jeweils folgende Beiträge bauen darauf auf.
Wie Dernium Clean aus einem eingehenden Dokument ein sicheres PDF baut, ohne jemals Inhalte aus dem Original zu vertrauen. Was das Verfahren CDR (Content Disarm and Reconstruction) leistet und was seine Grenzen sind.
Ein einzelner Virenscanner erkennt neue Samples in erstaunlich wenigen Fällen. Die Lösung ist nicht, einen besseren Scanner zu finden, sondern mehrere unterschiedliche zu kombinieren. Welche Engine-Familien es gibt, was jede einzelne gut kann und wie die Aggregation aussieht.
Container teilen sich den Host-Kernel. Für eine Malware-Scan-Pipeline ist das zu wenig. Warum gVisor als User-Space-Kernel die richtige zweite Schicht ist und wie ein Scanner gänzlich ohne Netzwerk gebaut wird.