Advertorial: AMD - Konsequenter Virenschutz beginnt beim richtigen Prozessor **

EVP - Kampf dem „Buffer Overrun“

Die gefährlichsten Schädlinge des vergangenen Jahres, Slammer und MSBlaster haben gezeigt, dass Anwender nicht genug Vorsorge treffen können.

Gerade so genannte Würmer, die einen Buffer Overrun ausnutzen, haben auf vielen Desktop-Rechnern und Notebooks verheerende Schäden hinterlassen. Doch was ist ein Buffer Overrun? Ursprünglich verstand man darunter einen Programmierfehler, der zur Folge hatte, dass für bestimmte Applikationen oder Daten zu wenig Platz in den Speicherressourcen verfügbar war. Kam im laufenden Betrieb eine unerwartet große Menge Daten für den jeweiligen Sektor hinzu, konnte es zu Verzögerungen, im schlimmsten Fall zum Abbruch des jeweiligen Programms kommen. Gewisse Viren, Trojaner und Würmer nutzen genau diesen Umstand und starten sich aus limitierten Speicherbereichen. Die Befehlsausführung außerhalb des Memory Buffers umgeht damit auch das Ausschalten der Antiviren-Software – der Virus bzw. Wurm kann sich ausbreiten.

EVP blockiert diesen Vorgang automatisch und im Hintergrund. Denn bestimmte Sektionen des Arbeitsspeichers werden ausschließlich für Daten reserviert. Da aus diesem Bereich nur Daten ausgelesen oder editiert werden können, scheidet ein Start von Programmen, einschließlich bestimmter Viren, Würmer und Trojaner aus. Bösartige Programm-Codes werden automatisch isoliert, lokalisiert und endgültig gelöscht. Jeden Versuch, Code außerhalb des zugewiesenen Bereich auszuführen, quittiert das System mit einem Error-Code oder der Meldung „NX Exception“. Diese Meldung wird dem Nutzer unmittelbar als Systemalarm angezeigt. Während EVP immer einsatzbereit ist *, müssen Antivirenprogramme erst Patches nachführen, um den Schutz des Systems sicherzustellen. Im Falle gefährlicher Angriffe zählt jede Minute. Der zusätzliche Schutz im Prozessor spart somit wertvolle Zeit. Microsoft schätzt, dass 50 Prozent aller Virenattacken zu einem Buffer Overrun führen.

Wie arbeitet EVP?

1. Der Anwender konfiguriert EVP und Windows® XP SP2 für bestimmte Programme.
2. Die Menge der attackierenden Daten ist für den Speicherbuffer zu groß. Die zusätzlichen Bits sind faktisch ausführbare Codes. Auf ungeschützten Systemen kann dieser Code dem System befehlen, Dateien zu zerstören, das System neu zu starten oder andere Systeme zu infizieren.
3. EVP, zusammen mit dem unterstützenden Betriebssystem aktiviert, identifiziert Daten als nicht-ausführbar und alarmiert den Anwender. Damit wird die Ausführung des Codes verhindert.

Dieses Advertorial stammt von AMD. Die darin enthaltenen Aussagen und Meinungen sind Aussagen und Meinungen dieses Unternehmens. Sie entsprechen deshalb nicht unbedingt denen der Redaktion.