Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
La dectection d'un quelconque virus par un anti-virus se fait comment ??
Le package, le code...etc........bref quels sont les critéres de détections
d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit plus....je
trouve ça assez dangeureux.
Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
La dectection d'un quelconque virus par un anti-virus se fait comment ??
Le package, le code...etc........bref quels sont les critéres de détections
d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit plus....je
trouve ça assez dangeureux.
Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
La dectection d'un quelconque virus par un anti-virus se fait comment ??
Le package, le code...etc........bref quels sont les critéres de détections
d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit plus....je
trouve ça assez dangeureux.
Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
Pas si facile que ça, même ceux parmi nous qui sont relativement bien
renseignés ne pourront pas vous affirmer avec entière certitude que
c'est comme ci ou comme ça que ça se fait...La dectection d'un quelconque virus par un anti-virus se fait comment
??
Je ne sais pas si les détails vous intéressent, donc je ne vous
l'explique qu'en gros: chaque virus a une apparence bien à lui qui le
différencie des autres virus. Vous extrayez un échantillon d'octets
représentatif de son code ("la signature"), et vous cherchez cette
signature dans tous les fichiers. Lorsque vous tombez sur cette
signature dans un fichier, vous partez du principe que le virus entier
s'y trouve et que ce fichier est donc infecté.
(C'est vraiment "en gros" - c'est comme ça que ça se faisait dans le
temps mais les choses ont évolué depuis, même si le principe de base
est toujours le même).Le package, le code...etc........bref quels sont les critéres de
détections
d'un fichier malsaint.
Le critère le plus important est bien sûr le fait de trouver dans un
fichier quelque chose dont on sait que ça appartient à un virus.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
Pas si facile que ça, même ceux parmi nous qui sont relativement bien
renseignés ne pourront pas vous affirmer avec entière certitude que
c'est comme ci ou comme ça que ça se fait...
La dectection d'un quelconque virus par un anti-virus se fait comment
??
Je ne sais pas si les détails vous intéressent, donc je ne vous
l'explique qu'en gros: chaque virus a une apparence bien à lui qui le
différencie des autres virus. Vous extrayez un échantillon d'octets
représentatif de son code ("la signature"), et vous cherchez cette
signature dans tous les fichiers. Lorsque vous tombez sur cette
signature dans un fichier, vous partez du principe que le virus entier
s'y trouve et que ce fichier est donc infecté.
(C'est vraiment "en gros" - c'est comme ça que ça se faisait dans le
temps mais les choses ont évolué depuis, même si le principe de base
est toujours le même).
Le package, le code...etc........bref quels sont les critéres de
détections
d'un fichier malsaint.
Le critère le plus important est bien sûr le fait de trouver dans un
fichier quelque chose dont on sait que ça appartient à un virus.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Je me pose une question ?, qui est trés facile pour certains ici, mais
j'aiemerais savoir ;).
Pas si facile que ça, même ceux parmi nous qui sont relativement bien
renseignés ne pourront pas vous affirmer avec entière certitude que
c'est comme ci ou comme ça que ça se fait...La dectection d'un quelconque virus par un anti-virus se fait comment
??
Je ne sais pas si les détails vous intéressent, donc je ne vous
l'explique qu'en gros: chaque virus a une apparence bien à lui qui le
différencie des autres virus. Vous extrayez un échantillon d'octets
représentatif de son code ("la signature"), et vous cherchez cette
signature dans tous les fichiers. Lorsque vous tombez sur cette
signature dans un fichier, vous partez du principe que le virus entier
s'y trouve et que ce fichier est donc infecté.
(C'est vraiment "en gros" - c'est comme ça que ça se faisait dans le
temps mais les choses ont évolué depuis, même si le principe de base
est toujours le même).Le package, le code...etc........bref quels sont les critéres de
détections
d'un fichier malsaint.
Le critère le plus important est bien sûr le fait de trouver dans un
fichier quelque chose dont on sait que ça appartient à un virus.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".
oui c'est le principe par exemple de la base étendue de Kaspersky, que je
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".
oui c'est le principe par exemple de la base étendue de Kaspersky, que je
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Pour les nouveaux virus encore inconnus vous avez des critères
supplémentaires, dits "heuristiques": par exemple, si votre fichier
recherche des fichiers exécutables ou contient une routine de
décryptage, alors il est possible qu'il soit malveillant et votre
antivirus peut vous indiquer "je crois, mais je ne suis pas sûr, que ce
fichier contient un virus inconnu".
oui c'est le principe par exemple de la base étendue de Kaspersky, que je
Un exemple : j'ai un fichier server.exe malsaint qui est détécté par
l'antivirus, j'ai juste à le repacker et hop l'antivirus le voit
plus....je
trouve ça assez dangeureux.
C'est un problème classique. Un virus change d'apparence lorsque vous le
compactez, donc cette signature que j'évoquais ci-dessus n'existe plus
et l'antivirus ne trouve plus le virus. Il y a deux possibilités pour
éviter ça:
1. vous ajoutez une signature pour chaque version possible (chaque virus
compacté avec chaque packer). Ça fait du boulot mais c'est ainsi que
certains antivirus procèdent, dont Norton je crois.
2. vous vous apercevez qu'un fichier a été compacté, vous savez avec
quel packer, et vous pouvez donc décompacter le fichier. Ensuite vous y
recherchez la signature "normale". L'avantage c'est qu'une seule
signature suffit pour toutes les versions compactées possibles,
l'inconvénient c'est qu'ajouter une routine de décompactage pour un
packer encore inconnu prend plus de temps qu'extraire une signature
comme dans 1., ce qui peut avoir de l'importance lorsqu'un nouveau virus
se propage massivement.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que ce
soit la meilleure solution.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que ce
soit la meilleure solution.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que ce
soit la meilleure solution.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que
ce
soit la meilleure solution.
Il me semble que Kaspersky justement agit comme ça. Il y en a d'autres
certainement.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que
ce
soit la meilleure solution.
Il me semble que Kaspersky justement agit comme ça. Il y en a d'autres
certainement.
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il semble que
ce
soit la meilleure solution.
Il me semble que Kaspersky justement agit comme ça. Il y en a d'autres
certainement.
La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
2. vous vous apercevez qu'un fichier a été compacté, vous
savez avec quel packer, et vous pouvez donc décompacter le
fichier. Ensuite vous y recherchez la signature "normale".
L'avantage c'est qu'une seule signature suffit pour toutes les
versions compactées possibles, l'inconvénient c'est qu'ajouter
une routine de décompactage pour un packer encore inconnu
prend plus de temps qu'extraire une signature comme dans 1.,
2. vous vous apercevez qu'un fichier a été compacté, vous
savez avec quel packer, et vous pouvez donc décompacter le
fichier. Ensuite vous y recherchez la signature "normale".
L'avantage c'est qu'une seule signature suffit pour toutes les
versions compactées possibles, l'inconvénient c'est qu'ajouter
une routine de décompactage pour un packer encore inconnu
prend plus de temps qu'extraire une signature comme dans 1.,
2. vous vous apercevez qu'un fichier a été compacté, vous
savez avec quel packer, et vous pouvez donc décompacter le
fichier. Ensuite vous y recherchez la signature "normale".
L'avantage c'est qu'une seule signature suffit pour toutes les
versions compactées possibles, l'inconvénient c'est qu'ajouter
une routine de décompactage pour un packer encore inconnu
prend plus de temps qu'extraire une signature comme dans 1.,
oui c'est le principe par exemple de la base étendue de
Kaspersky, que je trouve trés pratique.
Oui mais je ne pense pas que se soit la meilleure solution. On
peut risquer des gros retards...
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il
semble que ce soit la meilleure solution.
oui c'est le principe par exemple de la base étendue de
Kaspersky, que je trouve trés pratique.
Oui mais je ne pense pas que se soit la meilleure solution. On
peut risquer des gros retards...
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il
semble que ce soit la meilleure solution.
oui c'est le principe par exemple de la base étendue de
Kaspersky, que je trouve trés pratique.
Oui mais je ne pense pas que se soit la meilleure solution. On
peut risquer des gros retards...
Y'a t'il des antivirus qui agissent comme cela ?? Parce qu'il
semble que ce soit la meilleure solution.
Salut,
Fab's:La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Chaque éditeur a ses propres méthodes mais il est certain que la
détection se fait sur une portion caractéristique du code du
malware. Et si possible, une portion qui ne variera pas/peu dans
une prochaine version de la bestiole.
Certains éditeurs n'hésitent pas à ajouter des signatures
"heuristiques" sur des packers/crypteurs qui ne sont utilisés
que pour packer/crypter des bestioles. Par exemple: Morphine,
MEW.Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
Mauvais antivirus, changer antivirus.
Les bons éditeurs intégrent à leur logiciel des routines de
décompression pour tous les packers/crypters/patchers dont ils
ont connaissance. Ainsi, une fois qu'une bestiole est connue,
vous pouvez la packer avec ce que vous voudrez (même
multipackée/cryptée/patchée), la bestiole sera reconnue.
Les mauvais éditeurs doivent ajouter une signature pour chaque
version de la même bestiole packée différement.
Exemple récent:
w32.mydoom.az, .ba, .bb [Norton] sont détectés chez Kaspersky
sous Email-Worm.Win32.Mydoom.am. Je n'ai pas les bestioles sous
les eux pour vérifier, mais c'est très probablement un problème
de packers.
Un test sur les packers, certe un peu vieux:
http://www.rokop-security.de/main/article.php?sidI4
Un autre indice: KAV posséde 900 routines de
décompression/décryptage/...
--
joke0
Salut,
Fab's:
La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Chaque éditeur a ses propres méthodes mais il est certain que la
détection se fait sur une portion caractéristique du code du
malware. Et si possible, une portion qui ne variera pas/peu dans
une prochaine version de la bestiole.
Certains éditeurs n'hésitent pas à ajouter des signatures
"heuristiques" sur des packers/crypteurs qui ne sont utilisés
que pour packer/crypter des bestioles. Par exemple: Morphine,
MEW.
Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
Mauvais antivirus, changer antivirus.
Les bons éditeurs intégrent à leur logiciel des routines de
décompression pour tous les packers/crypters/patchers dont ils
ont connaissance. Ainsi, une fois qu'une bestiole est connue,
vous pouvez la packer avec ce que vous voudrez (même
multipackée/cryptée/patchée), la bestiole sera reconnue.
Les mauvais éditeurs doivent ajouter une signature pour chaque
version de la même bestiole packée différement.
Exemple récent:
w32.mydoom.az, .ba, .bb [Norton] sont détectés chez Kaspersky
sous Email-Worm.Win32.Mydoom.am. Je n'ai pas les bestioles sous
les eux pour vérifier, mais c'est très probablement un problème
de packers.
Un test sur les packers, certe un peu vieux:
http://www.rokop-security.de/main/article.php?sidI4
Un autre indice: KAV posséde 900 routines de
décompression/décryptage/...
--
joke0
Salut,
Fab's:La dectection d'un quelconque virus par un anti-virus se fait
comment ?? Le package, le code...etc........bref quels sont
les critéres de détections d'un fichier malsaint.
Chaque éditeur a ses propres méthodes mais il est certain que la
détection se fait sur une portion caractéristique du code du
malware. Et si possible, une portion qui ne variera pas/peu dans
une prochaine version de la bestiole.
Certains éditeurs n'hésitent pas à ajouter des signatures
"heuristiques" sur des packers/crypteurs qui ne sont utilisés
que pour packer/crypter des bestioles. Par exemple: Morphine,
MEW.Un exemple : j'ai un fichier server.exe malsaint qui est
détécté par l'antivirus, j'ai juste à le repacker et hop
l'antivirus le voit plus....je trouve ça assez dangeureux.
Mauvais antivirus, changer antivirus.
Les bons éditeurs intégrent à leur logiciel des routines de
décompression pour tous les packers/crypters/patchers dont ils
ont connaissance. Ainsi, une fois qu'une bestiole est connue,
vous pouvez la packer avec ce que vous voudrez (même
multipackée/cryptée/patchée), la bestiole sera reconnue.
Les mauvais éditeurs doivent ajouter une signature pour chaque
version de la même bestiole packée différement.
Exemple récent:
w32.mydoom.az, .ba, .bb [Norton] sont détectés chez Kaspersky
sous Email-Worm.Win32.Mydoom.am. Je n'ai pas les bestioles sous
les eux pour vérifier, mais c'est très probablement un problème
de packers.
Un test sur les packers, certe un peu vieux:
http://www.rokop-security.de/main/article.php?sidI4
Un autre indice: KAV posséde 900 routines de
décompression/décryptage/...
--
joke0
