Sophos Client Firewall: Sperren einer Anwendung wird mit "Modifizierter Speicher" begründet

Problem
Eine Anwendung wird von Sophos Client Firewall unter Anzeige der Meldung "Modifizierter Speicher" gesperrt.
Hinweis: Die Erkennung von Speicheränderungen beschränkt sich auf 32-Bit-Plattformen. Auf 64-Bit-Plattformen wird sie nicht unterstützt.

Sophos Produkt und Version
Sophos Client Firewall

Betriebssystem
Windows 2000 Professional, Windows XP, Vista und Windows 7
Die Funktion wird auf Serverbetriebssystemen nicht unterstützt.

Technischer Hintergrund
Standardmäßig sperrt Sophos Client Firewall Anwendungen, deren Speicher von einer anderen Anwendung modifiziert wurde.

Die entsprechende globale Option muss deaktiviert werden, damit eine solche Anwendung zugelassen werden kann. Diese Einstellung wird jedoch NICHT empfohlen, da hierbei keine Prozesse erkannt und gesperrt werden, deren Speicherbereich verändert wurde. Viren versuchen oftmals, sobald sie ausgeführt werden, Prozesse zu verändern, um herkömmliche Antiviren-Scan-Methoden zu umgehen, die ausführbare Dateien scannen, noch bevor sie in den Speicher geladen werden.

Die Firewall kann nicht so konfiguriert werden, dass bestimmte Anwendungen von solchen Überprüfungen ausgeschlossen werden.

Vorgehensweise

1. Rechtsklicken Sie im Statusbereich der Taskleiste auf das Sophos Client Firewall-Symbol und wählen Sie "Protokoll ansehen".
2. Öffnen Sie den Ordner "Prozesse".
3. Prüfen Sie die zuletzt gesperrte Anwendung oder eine Uhrzeit, die mit dem Zeitpunkt übereinstimmt, als die gesperrte Anwendung zuletzt ausgeführt wurde.
4. In der Spalte "Ereignis" sollte "Veränderter Speicher" angezeigt werden. Schließen Sie in diesem Falle das Protokoll.
5. Rechtsklicken Sie im Statusbereich der Taskleiste auf das Sophos Client Firewall-Symbol und wählen Sie "Konfigurieren".
6. Deaktivieren Sie die Option "Prozesse sperren, wenn Speicher durch eine andere Anwendung verändert wird".