Derartige Lösungen scannen die Webseiten nicht nur nach Malware, sondern untersuchen sie auch auf
- Änderungen im Source Code der Webseiten,
- neu eingefügte Dateien und Texte,
- möglichen Content Spam, der auf vielen Webseiten plötzlich auftaucht, und
- optische Änderungen,
indem sie fortlaufend Screenshots der Webseiten machen und nach Veränderungen scannen.
Dabei suchen solche Lösungen immer nach
- Anomalien, z.B. nach Sprachen, die sonst nicht genutzt werden,
- Wörtern, die bisher nicht verwendet wurden,
- ungewöhnlichen Farben oder Textpositionen auf den Webseiten und
- unüblichen Zeitpunkten für Webseiten-Änderungen.
Wichtig ist es dabei, die gewollten Änderungen von den bösartigen Manipulationen zu unterscheiden. Dazu lernen diese Tools zuerst die üblichen Änderungen kennen, melden verdächtige Änderungen und lernen weiter, wenn die Webseitenbetreiber eine ungewöhnliche Änderung als legitim markieren.