Aktuelle Virenscanner und Systeme zur Erkennung von Schadsoftware basieren primär auf Signaturerkennung oder heuristischen Analysen von Programmcode.Einen weitaus flexibleren Ansatz bietet Verhaltensanalyse von Schadprogrammen, da hier nicht die genaue Arbeitsweise, sondern die Auswirkungen betrachtet werden. Es soll beispielweise analysiert werden, welche Programmkomponenten miteinander kommunizieren, welche Dateien oder Registryschlüssel geöffnet werden oder welche internen oder externen Ressourcen verwendet werden.

Es wurde ein Sensor entwickelt, der als Schicht zwischen Betriebssystem und Anwendungen liegt und die Protokollierung von Dateizugriffen vornimmt. Diese können später verwendet werden, um Schadsoftware aufgrund der durch sie verursachten Anomalien zu erkennen. Neben Schadsoftware wie bspw. Viren, Trojanern oder Rootkits könnten auch Verhaltensänderungen von Benutzern erkannt werden.

Als Grundlage wurde ein Kerneltreiber entwickelt der über ein Interface geladen und entladen werden kann.Um alle Ereignisse im Zusammenhang mit Dateizugriffen problemlos bzw. unbemerkt protokollieren zu können, war es notwendig einen Hook zu erstellen. Dieser Hook ermöglicht gewünschten Speicherzugriffe über sich zu referenzieren und somit unerkannt diveres Zugriffe auszugeben. Für die Kommunikation von User-Mode zu Kernel-Mode, wurde auf IRP (I/O Request Paket) Technologie gesetzt. Somit ist es problemlos möglich mit dem Treiber über ein Interface zu kommunizieren.

Die Entwickelte Software funktioniert einwandfrei für Dateizugriffe und kann problemlos für weitere Protokollierungen von Registrierungszugriffen oder Netzwerkverkehr erweitert werden. Aus den protollierten Daten ist es möglich anschließend ein entsprechendes Verhaltensmuster zu analysieren.