Une fois un virus détecté, que ce soit en mémoire ou sur le disque dur, il reste à le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les éradiquer et de récupérer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils détruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectés ou carrément le formatage du disque dur. Pour les autres, même si ce n'est pas irréalisable, la tache est cependant très ardue : il faut savoir très précisément où est localisé, dans le fichier, le virus en question sachant qu'il peut être composé de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations nécessitent une connaissance parfaite du virus et de son mode d'action. Cette éradication se faisant par une recherche (du virus, de la partie déplacée), toutes les caractéristiques des différents virus doivent être répertoriées dans une base de donnée mise à jour pratiquement quotidiennement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Antivirus téléchargements & tutoriales Moteur de recherche rapide :
Custom Search
Thursday, April 30, 2009
Antivirus Analyse spectrale
Tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, au contraire, il est impossible de retrouver dans un vrai programme exécutable compilé certaines séquences de code. C’est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise à repérer les virus polymorphes qui sont indétéctables autrement (leur signature changeant à chaque réplication). En effet, lorsqu’un virus polymorphe crypte son code, la séquence en résultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va détecter l'analyse spectrale. Par exemple, si dans un programme exécutable, Antivirus trouve une instruction de lecture d'un octet au-delà de la taille limite de la mémoire, on sera probablement en présence de code crypté, donc d'un virus polymorphe.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Démarche heuristique
Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. Elle est différente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée, et n'autorise jamais son jamais son exécution.
Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient à être exécuté.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de déchiffrement. en effet une routine de déchiffrement consiste à parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instruction présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'écriture. Cette méthode est donc un peu plus intelligente que les autres : car elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi, contrairement au scanning, de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Moniteur de comportement
Les moniteurs de comportement ont pour rôle d'observer l'ordinateur à la recherche de toute activité de type virale, et dans ce cas de prévenir l’utilisateur.Typiquement, un moniteur de comportement est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT. et qui reste actif en arrière plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/écriture des fichiers exécutables. Les tentatives d'écriture sur les secteurs de partitions et de démarrage. Les tentatives pour devenir résident.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Utilisation d'un contrôleur d'intégrité
Schématiquement, un contrôleur d'intégrité va construire un fichier contenant les noms de tous les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques. Ces dernières peuvent prendre en compte la taille, la date et l'heure de la dernière modification ou encore un checksum (somme de contrôle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification ou altération des fichiers en recalculant le checksum à chaque démarrage de l'ordinateur(si Antivirus n'est pas résident), ou dès qu'un fichier exécutable est ouvert par un programme (si Antivirus est résident); en effet si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier en question, l'utilisateur en est donc informé. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier exécutable dans une base de données, et tester les modifications éventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier exécutable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la rétablir après.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Recherche de la signature virus
On nomme ça aussi scanning. C'est la méthode la plus ancienne et la plus utilisée. Son avantage est qu'elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractères identifiée comme appartenant à un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le détecter avec un scanneur que le concepteur de Antivirus ait déjà été confronté au virus en question et l'ait intégré à une base de données. Un scanneur n'est donc pas en mesure de détecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature à chaque réplication.) Cette méthode est à la fois la plus simple à programmer mais aussi la plus longue à mettre en œuvre car elle n'est utile que si elle recense tous les virus existant. Cela représente une somme de travail considérable et est quasiment impossible à réaliser. C'est pour ça que les concepteurs Antivirus proposent des mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de détecter les nouveaux virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Principales techniques de recherche virus
Nous présenterons quatre techniques majoritairement utilisées par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Brièvement présenté, le scanneur recherche dans tous les fichiers ou en RAM un code spécifique qui est censé indiquer la présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions généralement utilisées par les virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Aspects techniques des Antivirus
Les Antivirus rivalisent souvent d'ingéniosité pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des différentes techniques utilisées par les Antivirus pour combattre leur raison de vivre.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Pourquoi un Antivirus ?
Pour Sécuriser les ordinateurs et préserver l'intégrité des données d'un ordinateur, qui peuvent être d'une importance énorme (par exemple, la base de données d'une banque ne doit sous aucun prétexte être modifiée par un virus...)
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Logiciel malveillant
Petit programme nuisible qui perturbe le fonctionnement des ordinateurs. On distingue plusieurs familles de logiciels malveillants. Les virus, les vers, les chevaux de Troie, les logiciels espions en sont des exemples.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Premiers virus
Dans les années 1960 apparaissent de petits programmes nuisibles. Ils se multiplient très vite, ce qui leur vaut le nom de rabbits (lapins), et monopolisent le temps de calcul de l'ordinateur, l'empêchant de fonctionner. A la différence des virus, ils sont incapables de sauter d'un ordinateur à l'autre.
C'est en 1972 qu'est réalisé le premier virus informatique. Creeper, tel est son nom, peut infecter d'autres machines, mais il demeure un virus de laboratoire. Le premier virus “ sauvage ” daterait de 1982 : Elk Cloner attaquait les ordinateurs Apple II. Le premier virus ciblant les PC apparaît en 1986 : (c) Brain se propage sur disquettes. Il faut attendre 1988 pour observer le premier virus circulant grâce à Internet : Morris Worm.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.Sunday, April 26, 2009
Comment fonctionnent le pare-feu et l'antivirus ?
à-dire protéger l'ordinateur contre les dangers d'Internet ? Non ?
Monsieur Pare-feu : Pas tout à fait. En fait, on se partage le travail. Osons une analogie médicale. Un masque et des gants permettent de se protéger contre les microbes, mais ces filtres ne les arrêtent pas tous. Quand on est contaminé, une deuxième ligne de défense veille à l'intérieur de l'organisme, ce sont les anticorps. Disséminés dans tout l'organisme, ils empêchent les microbes de se propager. Dans un PC, c'est exactement le même schéma. La première ligne de défense, c'est moi, le pare-feu. Je suis une barrière filtrante placée entre l'ordinateur et le réseau Internet. Quand, malgré mes efforts, l'ordinateur est infecté, c'est l'antivirus qui prend le relais.
Monsieur Antivirus : Oui, je surveille l'intérieur de l'ordinateur, je repère les virus et je les place en quarantaine. Quand c'est possible, je les détruis. Toute cette vermine n'arrive pas seulement par Internet. Je surveille aussi les autres sources potentielles comme les clés USB et les CD-Rom, sur lesquels peuvent traîner des logiciels malveillants.
Monsieur Pare-feu : Pas tout à fait. En fait, on se partage le travail. Osons une analogie médicale. Un masque et des gants permettent de se protéger contre les microbes, mais ces filtres ne les arrêtent pas tous. Quand on est contaminé, une deuxième ligne de défense veille à l'intérieur de l'organisme, ce sont les anticorps. Disséminés dans tout l'organisme, ils empêchent les microbes de se propager. Dans un PC, c'est exactement le même schéma. La première ligne de défense, c'est moi, le pare-feu. Je suis une barrière filtrante placée entre l'ordinateur et le réseau Internet. Quand, malgré mes efforts, l'ordinateur est infecté, c'est l'antivirus qui prend le relais.
Monsieur Antivirus : Oui, je surveille l'intérieur de l'ordinateur, je repère les virus et je les place en quarantaine. Quand c'est possible, je les détruis. Toute cette vermine n'arrive pas seulement par Internet. Je surveille aussi les autres sources potentielles comme les clés USB et les CD-Rom, sur lesquels peuvent traîner des logiciels malveillants.
Quel est votre secret pour neutraliser les menaces ?
Monsieur Pare-feu : Je surveille les tuyaux d'Internet, les fameux ports d'entrée. Je les ferme tous, sauf ceux qui sont utiles à l'échange de messages électroniques, à la consultation des sites Web, au chat et quelques autres. Et ces ports laissés ouverts, je les surveille attentivement, à la recherche du moindre signe extérieur de mauvaises intentions. Les informations arrivent sous la forme de paquets séparés. Si un paquet paraît suspect, je scrute son passeport, je l'interroge sur son séjour. Puis, j'observe les paquets suivants envoyés par le même expéditeur. Parfois, je devine une attaque. Alors, je bloque tous les paquets de l'expéditeur. En revanche, si le paquet me paraît normal, j'ouvre la barrière. Surtout s'il est attendu par un logiciel. Certaines menaces déjouent ma surveillance à l'entrée du PC. J'essaie dans ce cas de les coincer à la sortie, lorsqu'ils tentent de s'évader avec leur butin.
Monsieur Antivirus : Quand les paquets arrivent sur le PC, leur contenu est déchargé dans la mémoire de l'ordinateur. Je patrouille justement dans cette zone. J'ai en main des portraits-robots précis des logiciels malveillants. Grâce à ces fiches signalétiques, je les repère dès qu'ils passent à l'action. Certains logiciels malveillants sont très habiles puisqu'ils changent d'apparence en permanence. Ce sont les “ virus polymorphes ”. Leur portrait-robot ne me sert à rien, je parviens à les coincer en observant leur comportement. S'ils tentent de modifier un programme, par exemple, c'est très suspect. Evidemment, parfois, je me trompe et j'arrête des logiciels innocents.
Que risque-t-on, si l'on ne vous installe pas ?
Monsieur Antivirus : Un effacement complet du disque dur, une destruction de Windows ! Ce sont les deux plus grosses menaces. Vous risquez aussi de perdre des amis : certains virus s'envoient par courriels à tous vos correspondants.
Monsieur Pare-feu : Sans moi, on peut se faire voler des informations. Dans le pire des cas, un numéro de carte bancaire. Votre PC peut se transformer en “ zombie ”, une sorte d'automate, programmé à distance par un pirate qui lance des attaques massives sur Internet. Vous risquez aussi d'être espionné. En effet, un pirate peut lire les textes que vous tapez, voir les images filmées par votre webcam. Sans pare-feu, la porte est grande ouverte : avec beaucoup de savoir-faire et quelques logiciels spécialisés, un pirate peut voir beaucoup de choses et même modifier vos fichiers à loisir.
Etes-vous efficaces à 100 % tous les deux ?
Monsieur Antivirus : Pour ma part, je neutralise 99 % des logiciels malveillants, mais pas 100 %. C'est déjà un excellent résultat : mes collègues les moins doués n'arrêtent même pas 70 % des menaces. Je tiens cette information d'experts en sécurité, qui ont testé les antivirus les plus répandus et publié leurs résultats sur le site www.av-comparatives.org.
Monsieur Pare-feu : Je n'arrête pas non plus toutes les attaques. La forteresse logicielle que j'érige a des failles, des erreurs que des pirates pourraient exploiter. Je les colmate dès qu'on me les signale, mais il en reste toujours. Heureusement, un pirate a peu de chances d'en découvrir. En réalité, le danger vient surtout de l'utilisateur. Quand je leur demande : “ Dois-je laisser ce logiciel accéder à Internet ? ”, certains utilisateurs répondent sans réfléchir. Résultat : ils ouvrent parfois la porte à un pirate.
Les pirates sont créatifs, ils imaginent de nouvelles menaces en permanence. Comment suivre leur rythme ?
Monsieur Antivirus : Il n'y a qu'une solution, mettre à jour les portraits-robots des virus. Quand un nouveau virus est détecté, quelques heures plus tard, sa fiche descriptive est prête. Avec la marche à suivre pour le neutraliser. J'ai besoin de me connecter à Internet chaque jour pour télécharger les définitions des nouveaux virus. C'est impératif.
Monsieur Pare-feu : En ce qui me concerne, c'est la même chose : il faut télécharger les mises à jour, pas forcément quotidiennement, mais très régulièrement.
Vous êtes parfois agaçants !
Monsieur Antivirus : C'est vrai. Je ralentis l'ordinateur et je passe ma vie à télécharger des mises à jour. Croyez bien que j'en suis désolé, mais pour assurer votre sécurité, je ne vois aucune autre solution.
Monsieur Pare-feu : Je suis casse-pieds, c'est sûr. Je lance des alertes à tort et à travers. J'empêche certains logiciels d'accéder à Internet. Dans les réseaux domestiques, j'empêche les ordinateurs de communiquer entre eux. Pour lever ces blocages, il faut m'apprivoiser. Comprendre mon fonctionnement. Je ne cherche pas à vous compliquer la vie ! Je suis juste excessivement prudent…
Premiers virus
Dans les années 1960 apparaissent de petits programmes nuisibles. Ils se multiplient très vite, ce qui leur vaut le nom de rabbits (lapins), et monopolisent le temps de calcul de l'ordinateur, l'empêchant de fonctionner. A la différence des virus, ils sont incapables de sauter d'un ordinateur à l'autre.
C'est en 1972 qu'est réalisé le premier virus informatique. Creeper, tel est son nom, peut infecter d'autres machines, mais il demeure un virus de laboratoire. Le premier virus “ sauvage ” daterait de 1982 : Elk Cloner attaquait les ordinateurs Apple II. Le premier virus ciblant les PC apparaît en 1986 : (c) Brain se propage sur disquettes. Il faut attendre 1988 pour observer le premier virus circulant grâce à Internet : Morris Worm.
Qu'est-ce que c'est ?
Logiciel malveillant
Petit programme nuisible qui perturbe le fonctionnement des ordinateurs. On distingue plusieurs familles de logiciels malveillants. Les virus, les vers, les chevaux de Troie, les logiciels espions en sont des exemples.
Port
Porte d'entrée de l'ordinateur qui ouvre sur un réseau, Internet par exemple. Chaque port est spécialisé dans un certain type de communication. Citons le port 110 dédié à la réception des courriels ; le port 80 spécialisé dans la navigation Web ; le port 21 pour l'envoi de fichiers (FTP).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Antivirus : Lequel choisir ? Comment fonctionne-t-il ?
Fonctionnement :
L'antivirus est le dernier rempart de votre ordinateur, il a pour premier but de détecter et d'éradiquer, avant son installation si possible, le virus présent sur votre ordinateur.
La plupart des antivirus scannent les fichiers de votre ordinateur ainsi que les courriers électroniques, les techniques utilisées sont les suivantes :
- la signature : lorsque l'antivirus scanne un fichier, il cherche dans sa base de signatures. Si celle du fichier correspond à celle d'une infection, l'antivirus réagit en émettant une alerte. Cette méthode est la plus utilisée actuellement, la signature correspond à un morceau de code.
- l'analyse heuristique : cette méthode permet de détecter une infection même si l'antivirus ne possède pas la signature du fichier dans sa base de données. Pour se faire, il simule le fonctionnement d'un programme inconnu pour faire son jugement. Malheureusement, l'antivirus peut se tromper, ce sont les faux-positifs.
- l'analyse du comportement : les antivirus actuels intègrent maintenant une recherche permanente. Il analyse donc tous les fichiers modifiés ou créés. S'il détecte un comportement suspect, il vous avertira immédiatement par une alerte. Cette méthode, si elle est activée, est utilisée en complément des deux autres.
Maintenant que l'antivirus a détecté un fichier, il vous proposera plusieurs choix :
- Réparer l'infection : elle ne fonctionne que dans une certaine limite sur les fichiers légitimes corrompus par une infection.
- Mise en quarantaine : la plus efficace et la plus utilisée. Il rend inactif le fichier et le met dans un dossier réservé par l'antivirus.
- Supprimer le fichier : méthode radicale à utiliser de préférence en mode sans échec pour plus de chance de réussite. A utiliser à vos risques et périls !
- Ignorer l'alerte : Le fichier n'est pas infecté ? Ignorer l'alerte émise. Mais il se peut que l'antivirus ne puisse rien faire d'autre. Il va falloir se débrouiller autrement.
Limites :
Un antivirus ne vous protègera jamais complètement. Les virus ne sont plus majoritaires, la famille des malwares s'est agrandit, l'efficacité de l'antivirus se réduit par conséquent. Avec l'expansion d'Internet, le nombre d'infections a explosé : les développeurs d'antivirus ne peuvent pas suivre le rythme. Ce qui réduit encore une fois l'efficacité de l'antivirus puisqu'il se base en priorité sur les signatures.
Autre problème, le temps que l'antivirus détecte le virus, celui-ci aura déjà fait des dégâts.
De plus, les voies de propagation pour toucher l'internaute sont de plus en plus nombreuses et simples à exploiter (eMule, pages MySpace infectées, MSN, etc.).
Pour éviter tous problèmes, nous vous conseillons fortement la lecture du dossier sur la prévention et la protection en cliquant sur l'image ci-dessous :
I Les cracks et les keygens
II Les faux codecs
III Les logiciels gratuits
IV Les rogues, les faux logiciels de sécurité
V La navigation sur des sites à haut risque d'infections
VI Les pièces jointes et les vers par messagerie instantanée
VII Les hoax et le phishing
AV-Comparatives :
La plupart des sites d'actualités informatique réalisent leurs propres comparatifs mais ils ne détaillent jamais suffisamment pour que nous les considérions comme crédibles.
C'est à ce moment qu'intervient AV-Comparatives qui se démarque par le sérieux de ses comparatifs. Malheureusement, comme pour tous ces comparatifs, certaines infections utilisées ne sont plus en circulation.
Comparatif d'août 2007 (version en ligne). Le prochain comparatif sera réalisé en février 2008.
Notre sélection :
Nous avons fait notre propre sélection. Un antivirus gratuit est largement suffisant si vous respectez les règles de bonne conduite sur Internet (voir le dossier ci-dessus)
ATTENTION ! Il ne faut prendre qu'un antivirus !
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
C'est quoi un Antivirus? Comment çà fonctionne?
Pourquoi un Antivirus ?
Pour Sécuriser les ordinateurs et préserver l'intégrité des données d'un ordinateur, qui peuvent être d'une importance énorme (par exemple, la base de données d'une banque ne doit sous aucun prétexte être modifiée par un virus...)
Aspects techniques des Antivirus
Les Antivirus rivalisent souvent d'ingéniosité pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des différentes techniques utilisées par les Antivirus pour combattre leur raison de vivre.
Principales techniques de recherche virus
Nous présenterons quatre techniques majoritairement utilisées par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Brièvement présenté, le scanneur recherche dans tous les fichiers ou en RAM un code spécifique qui est censé indiquer la présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions généralement utilisées par les virus.
Recherche de la signature
On nomme ça aussi scanning. C'est la méthode la plus ancienne et la plus utilisée. Son avantage est qu'elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractères identifiée comme appartenant à un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le détecter avec un scanneur que le concepteur de Antivirus ait déjà été confronté au virus en question et l'ait intégré à une base de données. Un scanneur n'est donc pas en mesure de détecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature à chaque réplication.) Cette méthode est à la fois la plus simple à programmer mais aussi la plus longue à mettre en œuvre car elle n'est utile que si elle recense tous les virus existant. Cela représente une somme de travail considérable et est quasiment impossible à réaliser. C'est pour ça que les concepteurs Antivirus proposent des mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de détecter les nouveaux virus.
Utilisation d'un contrôleur d'intégrité
Schématiquement, un contrôleur d'intégrité va construire un fichier contenant les noms de tous les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques. Ces dernières peuvent prendre en compte la taille, la date et l'heure de la dernière modification ou encore un checksum (somme de contrôle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification ou altération des fichiers en recalculant le checksum à chaque démarrage de l'ordinateur(si Antivirus n'est pas résident), ou dès qu'un fichier exécutable est ouvert par un programme (si Antivirus est résident); en effet si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier en question, l'utilisateur en est donc informé. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier exécutable dans une base de données, et tester les modifications éventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier exécutable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la rétablir après.
Moniteur de comportement
Les moniteurs de comportement ont pour rôle d'observer l'ordinateur à la recherche de toute activité de type virale, et dans ce cas de prévenir l’utilisateur.Typiquement, un moniteur de comportement est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT. et qui reste actif en arrière plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/écriture des fichiers exécutables. Les tentatives d'écriture sur les secteurs de partitions et de démarrage. Les tentatives pour devenir résident.
Démarche heuristique
Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. Elle est différente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée, et n'autorise jamais son jamais son exécution.
Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient à être exécuté.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de déchiffrement. en effet une routine de déchiffrement consiste à parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instruction présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'écriture. Cette méthode est donc un peu plus intelligente que les autres : car elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi, contrairement au scanning, de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données.
Analyse spectrale
Tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, au contraire, il est impossible de retrouver dans un vrai programme exécutable compilé certaines séquences de code. C’est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise à repérer les virus polymorphes qui sont indétéctables autrement (leur signature changeant à chaque réplication). En effet, lorsqu’un virus polymorphe crypte son code, la séquence en résultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va détecter l'analyse spectrale. Par exemple, si dans un programme exécutable, Antivirus trouve une instruction de lecture d'un octet au-delà de la taille limite de la mémoire, on sera probablement en présence de code crypté, donc d'un virus polymorphe.
Techniques d'éradication de virus
Une fois un virus détecté, que ce soit en mémoire ou sur le disque dur, il reste à le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les éradiquer et de récupérer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils détruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectés ou carrément le formatage du disque dur. Pour les autres, même si ce n'est pas irréalisable, la tache est cependant très ardue : il faut savoir très précisément où est localisé, dans le fichier, le virus en question sachant qu'il peut être composé de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations nécessitent une connaissance parfaite du virus et de son mode d'action. Cette éradication se faisant par une recherche (du virus, de la partie déplacée), toutes les caractéristiques des différents virus doivent être répertoriées dans une base de donnée mise à jour pratiquement quotidiennement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Subscribe to:
Posts (Atom)