Bonjour à tous,
Suite au comportement que je jugeais anormal de ma messagerie (je recevais
régulièrement des messages infectés, et il semble que le virus utilise mon
adresse pour infecter d'autres personnes), j'ai lancé un scan de mon disque.
Il semble que je sois effectivement infecté, puisque l'antivirus m'annonce avoir
découvert:
Trojan.Spy.Bispy.C
Backdoor.Ralpha.A
Je ne trouve pas sur les sites des antivirus la référence à ces deux virus, et
ne sais donc pas quel utilitaire utiliser pour me désinfecter.
Quelqu'un peut-il m'aider?
Par contre, je ne sais toujours pas vraiment en quoi consiste cette fameuse analyse spectrale. Et je commence a croire que je ne suis pas le premier a ne pas le savoir. A vous entendre, c'est "l'étude de la fréquence d'apparition des intructions." Mais heu, je suis sans doute naif, mais je suppose que ce n'est pas des instructions assembleur dont vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et la nature de certaines séquences de code - pour identifier des boucles (de décryptage par exemple), etc.
Anonyme de Webatou.net wrote:
Par contre, je ne sais toujours pas vraiment en quoi consiste cette
fameuse analyse spectrale. Et je commence a croire que je ne suis pas le
premier a ne pas le savoir. A vous entendre, c'est "l'étude de la
fréquence d'apparition des intructions." Mais heu, je suis sans doute
naif, mais je suppose que ce n'est pas des instructions assembleur dont
vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la
fréquence d'apparition de certaines instructions. Quand on sait par
exemple qu'un certain virus polymorphe ne génère que les instructions A,
B, et C et qu'on trouve dans une partie du code ces trois instructions
en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et la
nature de certaines séquences de code - pour identifier des boucles (de
décryptage par exemple), etc.
Par contre, je ne sais toujours pas vraiment en quoi consiste cette fameuse analyse spectrale. Et je commence a croire que je ne suis pas le premier a ne pas le savoir. A vous entendre, c'est "l'étude de la fréquence d'apparition des intructions." Mais heu, je suis sans doute naif, mais je suppose que ce n'est pas des instructions assembleur dont vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et la nature de certaines séquences de code - pour identifier des boucles (de décryptage par exemple), etc.
djehuti
"Frederic Bonroy" a écrit dans le message news:
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais si vous appelez ça analyse heuristique on est tenté de croire que vous considérez que l'analyse spectrale n'est pas heuristique parce que vous la mentionnez *en plus*.
C'est grave dans la mesure où ça montre qu'il y a encore du boulot au niveau de l'éducation
surtout quand certains n'hésitent pas à raconter n'importe quoi... idéal pour les embrouiller encore plus :-(
@tchao
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
2gv959F7f7fbU1@uni-berlin.de
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais
si vous appelez ça analyse heuristique on est tenté de croire que vous
considérez que l'analyse spectrale n'est pas heuristique parce que
vous
la mentionnez *en plus*.
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais si vous appelez ça analyse heuristique on est tenté de croire que vous considérez que l'analyse spectrale n'est pas heuristique parce que vous la mentionnez *en plus*.
C'est grave dans la mesure où ça montre qu'il y a encore du boulot au niveau de l'éducation
surtout quand certains n'hésitent pas à raconter n'importe quoi... idéal pour les embrouiller encore plus :-(
@tchao
Utilisateur_anonyme_et_non_membre_de_webatou.net
joke0 wrote:
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal : parmi les chevaux de troie succeptibles d'etre affectes par un firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers qui envoient les frappes enregistrees via FTP ou HTTP post, les webdownloaders, les notifiers, ceux qui envoient les numeros de serie de certains softs, etc. Je ne sais pas si KAV classe tous ces malwares sous l'appelation "backdoor", mais ca ne me semble pas tres approprie'.
Par contre, l'exemple typique du cheval de troie qui n'est pas affecte' par un firewall perso : le "tueur de firewall", justement.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
joke0 wrote:
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal :
parmi les chevaux de troie succeptibles d'etre affectes par un
firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers
qui envoient les frappes enregistrees via FTP ou HTTP post, les
webdownloaders, les notifiers, ceux qui envoient les numeros
de serie de certains softs, etc. Je ne sais pas si KAV classe tous
ces malwares sous l'appelation "backdoor", mais ca ne me
semble pas tres approprie'.
Par contre, l'exemple typique du cheval de troie qui n'est pas
affecte' par un firewall perso : le "tueur de firewall", justement.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes
par un AV a signature : comment un AV pourrait-il decider si
un serveur FTP ou un serveur Telnet est legitime ?
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal : parmi les chevaux de troie succeptibles d'etre affectes par un firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers qui envoient les frappes enregistrees via FTP ou HTTP post, les webdownloaders, les notifiers, ceux qui envoient les numeros de serie de certains softs, etc. Je ne sais pas si KAV classe tous ces malwares sous l'appelation "backdoor", mais ca ne me semble pas tres approprie'.
Par contre, l'exemple typique du cheval de troie qui n'est pas affecte' par un firewall perso : le "tueur de firewall", justement.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
AMcD®
Frederic Bonroy wrote:
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application standard (simple exemple) et bien tu vas le décomposer en insstructions "standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de l'opimisation ? Des logiciels qui protègent les softs en rajoutant des couches d'obfuscation ? Qui de programmes spéciaux, comme les drivers ?
Si c'est un ratio genre instruction_anormales/instruction_normales qui est pris en compte, eh bien il suffit de rajouter polymorphiquement du code "normal" !
Cela me semble assez du pipeau moi...
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et la nature de certaines séquences de code - pour identifier des boucles (de décryptage par exemple), etc.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux parfaitement obfusquer du code normal pour de simple raisons de protection, genre armadillo et consort.
Bref, j'aimerai bien voir ça expliqué noir sur blanc...
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Ça doit être une analyse statistique qui examine la présence et la
fréquence d'apparition de certaines instructions. Quand on sait par
exemple qu'un certain virus polymorphe ne génère que les instructions
A, B, et C et qu'on trouve dans une partie du code ces trois
instructions
en très grand nombre alors il est possible que ce fameux virus s'y
trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le
jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi
comment marche l'analyse spectrale. S'il s'agit de faire un relevé
statistique des opcodes et d'essayer de determiner leurlégitimité à se
trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application
standard (simple exemple) et bien tu vas le décomposer en insstructions
"standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de
l'opimisation ? Des logiciels qui protègent les softs en rajoutant des
couches d'obfuscation ? Qui de programmes spéciaux, comme les drivers ?
Si c'est un ratio genre instruction_anormales/instruction_normales qui est
pris en compte, eh bien il suffit de rajouter polymorphiquement du code
"normal" !
Cela me semble assez du pipeau moi...
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et
la nature de certaines séquences de code - pour identifier des
boucles (de décryptage par exemple), etc.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux
parfaitement obfusquer du code normal pour de simple raisons de protection,
genre armadillo et consort.
Bref, j'aimerai bien voir ça expliqué noir sur blanc...
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application standard (simple exemple) et bien tu vas le décomposer en insstructions "standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de l'opimisation ? Des logiciels qui protègent les softs en rajoutant des couches d'obfuscation ? Qui de programmes spéciaux, comme les drivers ?
Si c'est un ratio genre instruction_anormales/instruction_normales qui est pris en compte, eh bien il suffit de rajouter polymorphiquement du code "normal" !
Cela me semble assez du pipeau moi...
Peut-être qu'on peut s'en servir aussi pour identifier l'objectif et la nature de certaines séquences de code - pour identifier des boucles (de décryptage par exemple), etc.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux parfaitement obfusquer du code normal pour de simple raisons de protection, genre armadillo et consort.
Bref, j'aimerai bien voir ça expliqué noir sur blanc...
-- AMcD®
http://arnold.mcdonald.free.fr/
NO_eikaewt_SPAM
Frederic Bonroy wrote:
Anonyme de Webatou.net wrote:
Par contre, je ne sais toujours pas vraiment en quoi consiste cette fameuse analyse spectrale. Et je commence a croire que je ne suis pas le premier a ne pas le savoir. A vous entendre, c'est "l'étude de la fréquence d'apparition des intructions." Mais heu, je suis sans doute naif, mais je suppose que ce n'est pas des instructions assembleur dont vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions.
Tu entends quoi par "instruction" ? Une instruction assembleur ? Avec ses operandes ?
Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
En ce qui concerne les virus programmes en assembleur, je veux bien te croire. Mais la plupart des malwares recents sont programmes en langage de haut niveau ! J'ai du mal a croire que l'on peut les distinguer grace a des statistiques effectuees sur des opcodes ou kkchose comme ca...
Par contre, sur les fonctions standards et les imports de fonctions, la ca doit pouvoir donner des resultats. Et dans ce cas, autant y ajouter des chaines de caracteres significatives (noms de processus "tues" par certains malwares, par exemple).
M'enfin, si les editeurs d'AV se mettent a attaquer le probleme sous l'angle probabiliste ( et de maniere relativement systematique), je ne vais certainement pas m'en plaindre.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy wrote:
Anonyme de Webatou.net wrote:
Par contre, je ne sais toujours pas vraiment en quoi consiste cette
fameuse analyse spectrale. Et je commence a croire que je ne suis pas le
premier a ne pas le savoir. A vous entendre, c'est "l'étude de la
fréquence d'apparition des intructions." Mais heu, je suis sans doute
naif, mais je suppose que ce n'est pas des instructions assembleur dont
vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la
fréquence d'apparition de certaines instructions.
Tu entends quoi par "instruction" ? Une instruction assembleur ?
Avec ses operandes ?
Quand on sait par
exemple qu'un certain virus polymorphe ne génère que les instructions A,
B, et C et qu'on trouve dans une partie du code ces trois instructions
en très grand nombre alors il est possible que ce fameux virus s'y trouve.
En ce qui concerne les virus programmes en assembleur, je veux bien
te croire. Mais la plupart des malwares recents sont programmes en
langage de haut niveau ! J'ai du mal a croire que l'on peut les distinguer
grace a des statistiques effectuees sur des opcodes ou kkchose comme
ca...
Par contre, sur les fonctions standards et les imports de fonctions, la
ca doit pouvoir donner des resultats. Et dans ce cas, autant y ajouter
des chaines de caracteres significatives (noms de processus "tues" par
certains malwares, par exemple).
M'enfin, si les editeurs d'AV se mettent a attaquer le probleme sous
l'angle probabiliste ( et de maniere relativement systematique), je ne
vais
certainement pas m'en plaindre.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Par contre, je ne sais toujours pas vraiment en quoi consiste cette fameuse analyse spectrale. Et je commence a croire que je ne suis pas le premier a ne pas le savoir. A vous entendre, c'est "l'étude de la fréquence d'apparition des intructions." Mais heu, je suis sans doute naif, mais je suppose que ce n'est pas des instructions assembleur dont vous parlez, si ? Vous pourriez expliciter un peu ?
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions.
Tu entends quoi par "instruction" ? Une instruction assembleur ? Avec ses operandes ?
Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
En ce qui concerne les virus programmes en assembleur, je veux bien te croire. Mais la plupart des malwares recents sont programmes en langage de haut niveau ! J'ai du mal a croire que l'on peut les distinguer grace a des statistiques effectuees sur des opcodes ou kkchose comme ca...
Par contre, sur les fonctions standards et les imports de fonctions, la ca doit pouvoir donner des resultats. Et dans ce cas, autant y ajouter des chaines de caracteres significatives (noms de processus "tues" par certains malwares, par exemple).
M'enfin, si les editeurs d'AV se mettent a attaquer le probleme sous l'angle probabiliste ( et de maniere relativement systematique), je ne vais certainement pas m'en plaindre.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy
AMcD® wrote:
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique.
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
J'ai du mal à comprendre moi
comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application standard (simple exemple) et bien tu vas le décomposer en insstructions "standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de l'opimisation ?
Oh, on ne dira pas que telle ou telle instruction serait anormale, quoiqu'il existe des instructions qu'on ne retrouvera très probablement pas dans des programmes normaux. Il est peut-être plutôt question de groupes d'instructions.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux parfaitement obfusquer du code normal pour de simple raisons de protection, genre armadillo et consort.
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne pas calculer la fréquence des instructions, mais regarder quelles adresses sont le plus souvent exécutées et regarder avec quelle régularité. Si je vois par exemple que l'adresse 12345678h est appelée une fois sur 10 et ce régulièrement, alors il peut s'agir d'une boucle.
AMcD® wrote:
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le
jeu d'instructions du moteur polymorphique.
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
J'ai du mal à comprendre moi
comment marche l'analyse spectrale. S'il s'agit de faire un relevé
statistique des opcodes et d'essayer de determiner leurlégitimité à se
trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application
standard (simple exemple) et bien tu vas le décomposer en insstructions
"standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de
l'opimisation ?
Oh, on ne dira pas que telle ou telle instruction serait anormale,
quoiqu'il existe des instructions qu'on ne retrouvera très probablement
pas dans des programmes normaux. Il est peut-être plutôt question de
groupes d'instructions.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux
parfaitement obfusquer du code normal pour de simple raisons de protection,
genre armadillo et consort.
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne
pas calculer la fréquence des instructions, mais regarder quelles
adresses sont le plus souvent exécutées et regarder avec quelle
régularité. Si je vois par exemple que l'adresse 12345678h est appelée
une fois sur 10 et ce régulièrement, alors il peut s'agir d'une boucle.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique.
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
J'ai du mal à comprendre moi
comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même !
Suppose qu'on te dise qu'un XOR n'a rien à faire dans une application standard (simple exemple) et bien tu vas le décomposer en insstructions "standards" !
Et puis quoi, pourquoi telle ou telle instruction serait anormale ? Quid de l'opimisation ?
Oh, on ne dira pas que telle ou telle instruction serait anormale, quoiqu'il existe des instructions qu'on ne retrouvera très probablement pas dans des programmes normaux. Il est peut-être plutôt question de groupes d'instructions.
Bah, je te dis pas comment c'est facile à complexifier ça. En plus, tu peux parfaitement obfusquer du code normal pour de simple raisons de protection, genre armadillo et consort.
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne pas calculer la fréquence des instructions, mais regarder quelles adresses sont le plus souvent exécutées et regarder avec quelle régularité. Si je vois par exemple que l'adresse 12345678h est appelée une fois sur 10 et ce régulièrement, alors il peut s'agir d'une boucle.
Ewa (siostra Ani) N.
Eh Nicolas on est à l'école là ? MDR
Et au fait, cher "Bruno", il est extrêmement mal-poli, en tout cas à mes yeux, d'appeller les gens par leur prénom IRL quand ils sont sous pseudo.
Bruno D. fait ça pour être dans le mood... sans doute.
A bon entendeur ...
Nicob
-- Niesz !
Eh Nicolas on est à l'école là ? MDR
Et au fait, cher "Bruno", il est extrêmement mal-poli, en tout cas à mes
yeux, d'appeller les gens par leur prénom IRL quand ils sont sous pseudo.
Bruno D. fait ça pour être dans le mood... sans doute.
Et au fait, cher "Bruno", il est extrêmement mal-poli, en tout cas à mes yeux, d'appeller les gens par leur prénom IRL quand ils sont sous pseudo.
Bruno D. fait ça pour être dans le mood... sans doute.
A bon entendeur ...
Nicob
-- Niesz !
Frederic Bonroy
Tweakie wrote:
Tu entends quoi par "instruction" ? Une instruction assembleur ? Avec ses operandes ?
Oui.
En ce qui concerne les virus programmes en assembleur, je veux bien te croire. Mais la plupart des malwares recents sont programmes en langage de haut niveau !
De nos jours oui, mais ce n'a pas toujours été le cas. Et certaines bestioles sont encore écrites en assembleur.
J'ai du mal a croire que l'on peut les distinguer grace a des statistiques effectuees sur des opcodes ou kkchose comme ca...
Ça dépend, les compilateurs modernes font de l'optimisation et produisent du code plus compact que dans le temps. Mais je te donne raison, ça ne doit pas toujours être évident.
Tweakie wrote:
Tu entends quoi par "instruction" ? Une instruction assembleur ? Avec
ses operandes ?
Oui.
En ce qui concerne les virus programmes en assembleur, je veux bien
te croire. Mais la plupart des malwares recents sont programmes en
langage de haut niveau !
De nos jours oui, mais ce n'a pas toujours été le cas. Et certaines
bestioles sont encore écrites en assembleur.
J'ai du mal a croire que l'on peut les distinguer
grace a des statistiques effectuees sur des opcodes ou kkchose comme ca...
Ça dépend, les compilateurs modernes font de l'optimisation et
produisent du code plus compact que dans le temps. Mais je te donne
raison, ça ne doit pas toujours être évident.
Tu entends quoi par "instruction" ? Une instruction assembleur ? Avec ses operandes ?
Oui.
En ce qui concerne les virus programmes en assembleur, je veux bien te croire. Mais la plupart des malwares recents sont programmes en langage de haut niveau !
De nos jours oui, mais ce n'a pas toujours été le cas. Et certaines bestioles sont encore écrites en assembleur.
J'ai du mal a croire que l'on peut les distinguer grace a des statistiques effectuees sur des opcodes ou kkchose comme ca...
Ça dépend, les compilateurs modernes font de l'optimisation et produisent du code plus compact que dans le temps. Mais je te donne raison, ça ne doit pas toujours être évident.
AMcD®
Frederic Bonroy wrote:
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
Eh bien ils le feront ! Je les trouve de moins en moins neuneus nos amis coderz-lordz-3l33tz ces temps-ci...
Oh, on ne dira pas que telle ou telle instruction serait anormale, quoiqu'il existe des instructions qu'on ne retrouvera très probablement pas dans des programmes normaux. Il est peut-être plutôt question de groupes d'instructions.
Et c'est quoi une instruction "anormale" ? À ce compte là, tous mes softs sont detectés comme des virus...
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne pas calculer la fréquence des instructions, mais regarder quelles adresses sont le plus souvent exécutées et regarder avec quelle régularité. Si je vois par exemple que l'adresse 12345678h est appelée une fois sur 10 et ce régulièrement, alors il peut s'agir d'une boucle.
Tatata. Cela ça peut se planquer, se dissimuler. S'il faut faire un concours pour fair rendre dingue un AV, t'inquiète, je sais qui va gagner...
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
Eh bien ils le feront ! Je les trouve de moins en moins neuneus nos amis
coderz-lordz-3l33tz ces temps-ci...
Oh, on ne dira pas que telle ou telle instruction serait anormale,
quoiqu'il existe des instructions qu'on ne retrouvera très
probablement
pas dans des programmes normaux. Il est peut-être plutôt question de
groupes d'instructions.
Et c'est quoi une instruction "anormale" ? À ce compte là, tous mes softs
sont detectés comme des virus...
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne
pas calculer la fréquence des instructions, mais regarder quelles
adresses sont le plus souvent exécutées et regarder avec quelle
régularité. Si je vois par exemple que l'adresse 12345678h est appelée
une fois sur 10 et ce régulièrement, alors il peut s'agir d'une
boucle.
Tatata. Cela ça peut se planquer, se dissimuler. S'il faut faire un concours
pour fair rendre dingue un AV, t'inquiète, je sais qui va gagner...
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
Eh bien ils le feront ! Je les trouve de moins en moins neuneus nos amis coderz-lordz-3l33tz ces temps-ci...
Oh, on ne dira pas que telle ou telle instruction serait anormale, quoiqu'il existe des instructions qu'on ne retrouvera très probablement pas dans des programmes normaux. Il est peut-être plutôt question de groupes d'instructions.
Et c'est quoi une instruction "anormale" ? À ce compte là, tous mes softs sont detectés comme des virus...
Pour reconnaître des boucles je vois aussi la possibilité suivante: ne pas calculer la fréquence des instructions, mais regarder quelles adresses sont le plus souvent exécutées et regarder avec quelle régularité. Si je vois par exemple que l'adresse 12345678h est appelée une fois sur 10 et ce régulièrement, alors il peut s'agir d'une boucle.
Tatata. Cela ça peut se planquer, se dissimuler. S'il faut faire un concours pour fair rendre dingue un AV, t'inquiète, je sais qui va gagner...
-- AMcD®
http://arnold.mcdonald.free.fr/
joke0
Salut,
Anonyme de Webatou.net:
Si je puis me permettre, ton raisonnement me semble bancal :
[snip]
Tu as parfaitement raison, j'ai éludé cet aspect. Mais je me suis dit qu'ils étaient largement compensés par les scripts (BAT.*, VBS.*, JS.*) et tous les vieux trucs DOS classés en tant que virus mais qui sont en réalité des trojans (virus compagnons entre autes).
Si on enleve les clickers, downloaders, proxies, notifiers et spies, le nombre de trojans pur vu par KAV tombe à 9300.
-- joke0
Salut,
Anonyme de Webatou.net:
Si je puis me permettre, ton raisonnement me semble bancal :
[snip]
Tu as parfaitement raison, j'ai éludé cet aspect. Mais je me
suis dit qu'ils étaient largement compensés par les scripts
(BAT.*, VBS.*, JS.*) et tous les vieux trucs DOS classés en tant
que virus mais qui sont en réalité des trojans (virus compagnons entre
autes).
Si on enleve les clickers, downloaders, proxies, notifiers et spies,
le nombre de trojans pur vu par KAV tombe à 9300.
Si je puis me permettre, ton raisonnement me semble bancal :
[snip]
Tu as parfaitement raison, j'ai éludé cet aspect. Mais je me suis dit qu'ils étaient largement compensés par les scripts (BAT.*, VBS.*, JS.*) et tous les vieux trucs DOS classés en tant que virus mais qui sont en réalité des trojans (virus compagnons entre autes).
Si on enleve les clickers, downloaders, proxies, notifiers et spies, le nombre de trojans pur vu par KAV tombe à 9300.
