Gefährliche Prozesse werden identifiziert anhand:
| • | MD5 Summe ODER |
| • | Dateinamen und Pfad |
Das heißt: Auch wenn sich ein als gefährlich eingestufter Prozess sich modifiziert (MD5 ändert sich), wird er anhand von Dateiname und Pfad erkannt. Tipp: Möchten Sie immer gewarnt werden, wenn auf einem Computer z.B. die Datei moorhuhn.exe ausgeführt wird, so löschen Sie das Feld MD5 und schreiben im Feld Dateiname nur: moorhuhn.exe |
Ungefährliche/Neutrale Prozesse werden identifiziert anhand
| • | MD5 Summe |
Dateiname und Pfad werden nicht als Kriterium verwendet, denn ersetzt oder verändert ein Schädling einen als ungefährlich markierten Prozess so bleiben dessen Dateiname und Pfad gleich - nur die MD5 Summe ändert sich. Ausnahme: Geht man davon aus, dass sich die Datei nicht ändern läßt (C:\Windows\System32\lsass.exe) so kann man das Feld MD5 leer lassen. Der ungefährliche Prozess wird dann anhand von Dateiname und Pfad identifiziert. |