Bonjour à tous,
Suite au comportement que je jugeais anormal de ma messagerie (je recevais
régulièrement des messages infectés, et il semble que le virus utilise mon
adresse pour infecter d'autres personnes), j'ai lancé un scan de mon disque.
Il semble que je sois effectivement infecté, puisque l'antivirus m'annonce avoir
découvert:
Trojan.Spy.Bispy.C
Backdoor.Ralpha.A
Je ne trouve pas sur les sites des antivirus la référence à ces deux virus, et
ne sais donc pas quel utilitaire utiliser pour me désinfecter.
Quelqu'un peut-il m'aider?
"AMcD®" a écrit dans le message news: 40aa8aa1$0$2525$
Frederic Bonroy wrote:
Oui mais en pratique beaucoup d'auteurs de virus ne le font pas.
Eh bien ils le feront ! Je les trouve de moins en moins neuneus nos amis coderz-lordz-3l33tz ces temps-ci...
tiens, t'as fait LaDDL seconde langue !!!
@tchao
Noshi
On 18 May 2004 21:23:24 GMT, Anonyme de Webatou.net wrote:
joke0 wrote:
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal : parmi les chevaux de troie succeptibles d'etre affectes par un firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers qui envoient les frappes enregistrees via FTP ou HTTP post, les webdownloaders, les notifiers, ceux qui envoient les numeros de serie de certains softs, etc. Je ne sais pas si KAV classe tous ces malwares sous l'appelation "backdoor", mais ca ne me semble pas tres approprie'.
Faudrait avoir un compte détaillé de tout cela...
Par contre, l'exemple typique du cheval de troie qui n'est pas affecte' par un firewall perso : le "tueur de firewall", justement.
Non. ;) Le meilleur exemple est le cheval de troie qui pulvérise le contenu du disque. Rien a foutre de se connecter son boulot étant de détruire.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
Bonne question. Par signature justemment...
-- Noshi
On 18 May 2004 21:23:24 GMT, Anonyme de Webatou.net wrote:
joke0 wrote:
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal :
parmi les chevaux de troie succeptibles d'etre affectes par un
firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers
qui envoient les frappes enregistrees via FTP ou HTTP post, les
webdownloaders, les notifiers, ceux qui envoient les numeros
de serie de certains softs, etc. Je ne sais pas si KAV classe tous
ces malwares sous l'appelation "backdoor", mais ca ne me
semble pas tres approprie'.
Faudrait avoir un compte détaillé de tout cela...
Par contre, l'exemple typique du cheval de troie qui n'est pas
affecte' par un firewall perso : le "tueur de firewall", justement.
Non. ;) Le meilleur exemple est le cheval de troie qui pulvérise le contenu
du disque. Rien a foutre de se connecter son boulot étant de détruire.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes
par un AV a signature : comment un AV pourrait-il decider si
un serveur FTP ou un serveur Telnet est legitime ?
On 18 May 2004 21:23:24 GMT, Anonyme de Webatou.net wrote:
joke0 wrote:
Par rapport au nombre de chevaux de Troie qui existent.
Tu es sûr que tu m'as lu?
Si je puis me permettre, ton raisonnement me semble bancal : parmi les chevaux de troie succeptibles d'etre affectes par un firewall, il n'y a pas que des backdoors : il ya a aussi les keyloggers qui envoient les frappes enregistrees via FTP ou HTTP post, les webdownloaders, les notifiers, ceux qui envoient les numeros de serie de certains softs, etc. Je ne sais pas si KAV classe tous ces malwares sous l'appelation "backdoor", mais ca ne me semble pas tres approprie'.
Faudrait avoir un compte détaillé de tout cela...
Par contre, l'exemple typique du cheval de troie qui n'est pas affecte' par un firewall perso : le "tueur de firewall", justement.
Non. ;) Le meilleur exemple est le cheval de troie qui pulvérise le contenu du disque. Rien a foutre de se connecter son boulot étant de détruire.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
Bonne question. Par signature justemment...
-- Noshi
Noshi
On Tue, 18 May 2004 22:04:25 +0200, LaDDL wrote:
Frederic Bonroy wrote:
Un cheval de Troie qui formate le disque dur n'exploite aucune vulnérabilité dans quoi que ce soit Un Trojan exploite une/des vulnérabilités pour s'installer sur le
système de la victime. Une fois installé c'est clair il agit point barre.
A condition de considérer l'utilisateur comme une "vulnérabilité" alors oui...
, et les pare-feu ne peuvent rien faire contre. Ca dépend du type d'attaques par Trojan.
La on parle de la personne qui va télécharger un programme sur un site quelconque pour une raison quelconque et qui va l'exécuter sur son poste. Résultat. Un trojan qui lui formate son disque dur. Le firewall n'a *rien* pu faire pour l'empecher. La seule chose qui aurait pu c'est un antivirus qui aurait la signature du programme dans sa base ou qui arriverait a le détecter par heuristique. Mais sur ce point la particulier. Avec ou sans firewall le résultat est le *même*. Et il existe de nombreux cas ou ca aurait été pareil. Le trojan qui récupère les numéros de séries et qui se sert de OE pour envoyer un mail. OE est autorisé? Ca passe... le firewall n'a de nouveau rien pu faire.
L'analyse des flux peut fournir beaucoup d'informations.
mais trop tard... quand le mal est déjà fait.
-- Noshi
On Tue, 18 May 2004 22:04:25 +0200, LaDDL wrote:
Frederic Bonroy wrote:
Un cheval de Troie qui formate le disque dur n'exploite aucune
vulnérabilité dans quoi que ce soit
Un Trojan exploite une/des vulnérabilités pour s'installer sur le
système de la victime. Une fois installé c'est clair il agit point
barre.
A condition de considérer l'utilisateur comme une "vulnérabilité" alors
oui...
, et les pare-feu ne peuvent rien
faire contre.
Ca dépend du type d'attaques par Trojan.
La on parle de la personne qui va télécharger un programme sur un site
quelconque pour une raison quelconque et qui va l'exécuter sur son poste.
Résultat. Un trojan qui lui formate son disque dur.
Le firewall n'a *rien* pu faire pour l'empecher. La seule chose qui aurait
pu c'est un antivirus qui aurait la signature du programme dans sa base ou
qui arriverait a le détecter par heuristique. Mais sur ce point la
particulier. Avec ou sans firewall le résultat est le *même*. Et il existe
de nombreux cas ou ca aurait été pareil. Le trojan qui récupère les numéros
de séries et qui se sert de OE pour envoyer un mail. OE est autorisé? Ca
passe... le firewall n'a de nouveau rien pu faire.
L'analyse des flux peut fournir beaucoup d'informations.
Un cheval de Troie qui formate le disque dur n'exploite aucune vulnérabilité dans quoi que ce soit Un Trojan exploite une/des vulnérabilités pour s'installer sur le
système de la victime. Une fois installé c'est clair il agit point barre.
A condition de considérer l'utilisateur comme une "vulnérabilité" alors oui...
, et les pare-feu ne peuvent rien faire contre. Ca dépend du type d'attaques par Trojan.
La on parle de la personne qui va télécharger un programme sur un site quelconque pour une raison quelconque et qui va l'exécuter sur son poste. Résultat. Un trojan qui lui formate son disque dur. Le firewall n'a *rien* pu faire pour l'empecher. La seule chose qui aurait pu c'est un antivirus qui aurait la signature du programme dans sa base ou qui arriverait a le détecter par heuristique. Mais sur ce point la particulier. Avec ou sans firewall le résultat est le *même*. Et il existe de nombreux cas ou ca aurait été pareil. Le trojan qui récupère les numéros de séries et qui se sert de OE pour envoyer un mail. OE est autorisé? Ca passe... le firewall n'a de nouveau rien pu faire.
L'analyse des flux peut fournir beaucoup d'informations.
Dites-moi en quoi cette définition ne s'applique pas à l'analyse spectrale. Bjr, c'est donc ça la question. ;) Je vous l'ai déjà dit nous partageons
le même point de vue sur le sens ou la terminologie. Mais là où je pense il y a une appréciation différente entre nous de c'est dans la démarche technique de l'analyseur spectral et heuristique.
Dites-moi en quoi cette définition ne s'applique pas à l'analyse spectrale.
Bjr, c'est donc ça la question. ;) Je vous l'ai déjà dit nous partageons
le même point de vue sur le sens ou la terminologie.
Mais là où je pense il y a une appréciation différente entre nous de
c'est dans la démarche technique de l'analyseur spectral et heuristique.
Dites-moi en quoi cette définition ne s'applique pas à l'analyse spectrale. Bjr, c'est donc ça la question. ;) Je vous l'ai déjà dit nous partageons
le même point de vue sur le sens ou la terminologie. Mais là où je pense il y a une appréciation différente entre nous de c'est dans la démarche technique de l'analyseur spectral et heuristique.
LaDDL
Frederic Bonroy wrote:
LaDDL wrote:
Si vous voulez: l'analyse spectrale est une forme d'heuristique. Oui on est d'accord.
L'analyse spectrale est un *procédé* heuristique. Pourquoi pas ce n'est pas faux.
Alors pourquoi contestiez-vous l'usage du mot "heuristique" pour décrire l'analyse spectrale, Je ne l'ai pas contesté mais dans le champ d'application de la lutte
antivirale ce sont pour moi deux analyseurs distincts.
C'est contradictoire ce que vous dites, enfin. :-( En haut vous dites être d'accord sur le fait que l'analyse spectrale est une forme d'heuristique et maintenant vous dites que ce sont deux analyseurs distinct. Au plan théorique nous sommes d'accord spectral & heuristique c'est
pareil. Au plan technique, soit le fonctionnement d'un AV, je distingue bien les différents procédés techhniques (algorithmes employés). Et selon l'AV, il y a une approche différente dans les mécanismes de détection (appelons les ici analyseurs).
C'est comme pour les tests dans la presse. :-( Non. J'ai tout simplement reproché aux tests de Magdeburg de ne pas
prendre en compte plus voire tous les AV. Je n'ai pas émis la moindre autre critique. Par ailleurs, ces tests que ce soit VB, Magdeburg, Hambourg, etc ont toute leur légitimité ! Et heureusement qu'ils existent. La presse a raison de s'en servir et de leur offrir une tribune pour faire partager leur travail aux plus grands nombres. Car les tests fonctionnels dans ces mêmes magazines sont trop réducteurs et donnent une vision fausse de la qualité des AV et leur différences.
L'analyse heuristique, ce n'est pas la recheche d'une "instruction". Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être exécuté par exemple.
Et il fait ça comment? Par émulation par exemple. Allors appelons ça "émulation" et pas "analyse heuristique", car l'analyse spectrale est aussi une analyse heuristique. Nous sommes d'accord.
Simplement je distingue la théorie soit ici analyse heuristique et spectrale du fonctionnement d'un AV et des mécanismes (c'est pourquoi j'emploi analyseur) employés.
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais si vous appelez ça analyse heuristique on est tenté de croire que vous considérez que l'analyse spectrale n'est pas heuristique parce que vous la mentionnez *en plus*. Tu as préjugé.
Mais l'important c'est d'arriver à se comprendre.
Même si je trouve que les épidémies virales depuis un an ont eu pour effet de faire prendre conscience des problèmes de sécurité aux users et à certains éditeurs. Je ne suis pas d'accord pour la pédagogie/sensibilisation par l'emploi de techniques illégales. Car cela entraine la confusion dans tous les esprits. Et l'on en finit par légitimer certains actes de délinquance informatique.
???
Je ne suis pas pour leur faire comprendre par l'expérience et des attaques. Vous m'avez mal compris. Autant pour moi alors. Mais c'est plus limpide maintenant.
Je suis pour leur dire qu'un pare-feu ne protège pas contre tous les chevaux de Troie. Là oui formulé ainsi je suis d'accord avec vous.
Mais vous sous-entendiez qu'un FW est inutile contre les attaques par Trojan. C'est pourquoi je vous ai dit ne pas être d'accord avec vous. Toute contre mesure a ses limites et un FW ne fait pas exception.
Cela sème peut-être le doute mais... ce peut être une bonne chose aussi. Il est important d'informer/signaler les users des menaces, risques de
leurs logiciels ou matériels. Mais dire que telle contre-mesure (sic FW) ne sert à rien. C'est abérrant une bonne sécurité système repose sur une combinaison de contre-mesures.
C'est *grave* que certains croient qu'un pare-feu protège contre tous les chevaux de Troie. Tous les users ne sont pas des bidouilleurs, chercheurs, connaisseurs,
étudiants, passionnés ou professionnels etc. La plupart ne savent pas administrer leur environnement donc ne leur demander pas de gèrer leur niveau de sécurité.
C'est grave dans la mesure où ça montre qu'il y a encore du boulot au niveau de l'éducation. Bien entendu que le travail passe par l'enseignement, la pédagogie.
Certains éditeurs ont commis une grosse erreur avec un discours basé sur l'informatique pour tous. Ils portent une grande part de la responsabilité des problèmes que rencontrent certains users. Certes les environnements, les interfaces se sont adaptées/simplifiées pour répondre aux besoins des users. Mais pour se servir d'un ordinateur on doit d'abord apprendre ce que c'est, comment cela fonctionne, etc.
Je ne leur donne pas la faute, ce n'est pas ça que j'ai voulu exprimer. Ok pas de problème ;)
Frederic Bonroy wrote:
LaDDL wrote:
Si vous voulez: l'analyse spectrale est une forme d'heuristique.
Oui on est d'accord.
L'analyse spectrale est un
*procédé* heuristique.
Pourquoi pas ce n'est pas faux.
Alors pourquoi contestiez-vous l'usage du mot "heuristique" pour décrire
l'analyse spectrale,
Je ne l'ai pas contesté mais dans le champ d'application de la lutte
antivirale ce sont pour moi deux analyseurs distincts.
C'est contradictoire ce que vous dites, enfin. :-( En haut vous dites
être d'accord sur le fait que l'analyse spectrale est une forme
d'heuristique et maintenant vous dites que ce sont deux analyseurs distinct.
Au plan théorique nous sommes d'accord spectral & heuristique c'est
pareil.
Au plan technique, soit le fonctionnement d'un AV, je distingue bien les
différents procédés techhniques (algorithmes employés). Et selon l'AV,
il y a une approche différente dans les mécanismes de détection
(appelons les ici analyseurs).
C'est comme pour les tests dans la presse. :-(
Non. J'ai tout simplement reproché aux tests de Magdeburg de ne pas
prendre en compte plus voire tous les AV. Je n'ai pas émis la moindre
autre critique.
Par ailleurs, ces tests que ce soit VB, Magdeburg, Hambourg, etc ont
toute leur légitimité ! Et heureusement qu'ils existent. La presse a
raison de s'en servir et de leur offrir une tribune pour faire partager
leur travail aux plus grands nombres.
Car les tests fonctionnels dans ces mêmes magazines sont trop réducteurs
et donnent une vision fausse de la qualité des AV et leur différences.
L'analyse heuristique, ce n'est pas la recheche d'une "instruction".
Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être
exécuté par exemple.
Et il fait ça comment? Par émulation par exemple.
Allors appelons ça "émulation" et pas "analyse heuristique", car l'analyse spectrale est
aussi une analyse heuristique.
Nous sommes d'accord.
Simplement je distingue la théorie soit ici analyse heuristique et
spectrale du fonctionnement d'un AV et des mécanismes (c'est pourquoi
j'emploi analyseur) employés.
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais si
vous appelez ça analyse heuristique on est tenté de croire que vous
considérez que l'analyse spectrale n'est pas heuristique parce que vous
la mentionnez *en plus*.
Tu as préjugé.
Mais l'important c'est d'arriver à se comprendre.
Même si je trouve que les épidémies virales depuis un an ont eu pour
effet de faire prendre conscience des problèmes de sécurité aux users et
à certains éditeurs. Je ne suis pas d'accord pour la
pédagogie/sensibilisation par l'emploi de techniques illégales. Car cela
entraine la confusion dans tous les esprits. Et l'on en finit par
légitimer certains actes de délinquance informatique.
???
Je ne suis pas pour leur faire comprendre par l'expérience et des
attaques. Vous m'avez mal compris.
Autant pour moi alors. Mais c'est plus limpide maintenant.
Je suis pour leur dire qu'un pare-feu
ne protège pas contre tous les chevaux de Troie.
Là oui formulé ainsi je suis d'accord avec vous.
Mais vous sous-entendiez qu'un FW est inutile contre les attaques par
Trojan. C'est pourquoi je vous ai dit ne pas être d'accord avec vous.
Toute contre mesure a ses limites et un FW ne fait pas exception.
Cela sème peut-être le
doute mais... ce peut être une bonne chose aussi.
Il est important d'informer/signaler les users des menaces, risques de
leurs logiciels ou matériels.
Mais dire que telle contre-mesure (sic FW) ne sert à rien. C'est
abérrant une bonne sécurité système repose sur une combinaison de
contre-mesures.
C'est *grave* que certains croient qu'un pare-feu protège contre tous
les chevaux de Troie.
Tous les users ne sont pas des bidouilleurs, chercheurs, connaisseurs,
étudiants, passionnés ou professionnels etc. La plupart ne savent pas
administrer leur environnement donc ne leur demander pas de gèrer leur
niveau de sécurité.
C'est grave dans la mesure où ça montre qu'il y a encore du boulot au
niveau de l'éducation.
Bien entendu que le travail passe par l'enseignement, la pédagogie.
Certains éditeurs ont commis une grosse erreur avec un discours basé sur
l'informatique pour tous. Ils portent une grande part de la
responsabilité des problèmes que rencontrent certains users. Certes les
environnements, les interfaces se sont adaptées/simplifiées pour
répondre aux besoins des users. Mais pour se servir d'un ordinateur on
doit d'abord apprendre ce que c'est, comment cela fonctionne, etc.
Je ne leur donne pas la faute, ce n'est pas ça
que j'ai voulu exprimer.
Ok pas de problème ;)
Si vous voulez: l'analyse spectrale est une forme d'heuristique. Oui on est d'accord.
L'analyse spectrale est un *procédé* heuristique. Pourquoi pas ce n'est pas faux.
Alors pourquoi contestiez-vous l'usage du mot "heuristique" pour décrire l'analyse spectrale, Je ne l'ai pas contesté mais dans le champ d'application de la lutte
antivirale ce sont pour moi deux analyseurs distincts.
C'est contradictoire ce que vous dites, enfin. :-( En haut vous dites être d'accord sur le fait que l'analyse spectrale est une forme d'heuristique et maintenant vous dites que ce sont deux analyseurs distinct. Au plan théorique nous sommes d'accord spectral & heuristique c'est
pareil. Au plan technique, soit le fonctionnement d'un AV, je distingue bien les différents procédés techhniques (algorithmes employés). Et selon l'AV, il y a une approche différente dans les mécanismes de détection (appelons les ici analyseurs).
C'est comme pour les tests dans la presse. :-( Non. J'ai tout simplement reproché aux tests de Magdeburg de ne pas
prendre en compte plus voire tous les AV. Je n'ai pas émis la moindre autre critique. Par ailleurs, ces tests que ce soit VB, Magdeburg, Hambourg, etc ont toute leur légitimité ! Et heureusement qu'ils existent. La presse a raison de s'en servir et de leur offrir une tribune pour faire partager leur travail aux plus grands nombres. Car les tests fonctionnels dans ces mêmes magazines sont trop réducteurs et donnent une vision fausse de la qualité des AV et leur différences.
L'analyse heuristique, ce n'est pas la recheche d'une "instruction". Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être exécuté par exemple.
Et il fait ça comment? Par émulation par exemple. Allors appelons ça "émulation" et pas "analyse heuristique", car l'analyse spectrale est aussi une analyse heuristique. Nous sommes d'accord.
Simplement je distingue la théorie soit ici analyse heuristique et spectrale du fonctionnement d'un AV et des mécanismes (c'est pourquoi j'emploi analyseur) employés.
Bien sûr que l'émulation est *une* forme d'analyse heuristique, mais si vous appelez ça analyse heuristique on est tenté de croire que vous considérez que l'analyse spectrale n'est pas heuristique parce que vous la mentionnez *en plus*. Tu as préjugé.
Mais l'important c'est d'arriver à se comprendre.
Même si je trouve que les épidémies virales depuis un an ont eu pour effet de faire prendre conscience des problèmes de sécurité aux users et à certains éditeurs. Je ne suis pas d'accord pour la pédagogie/sensibilisation par l'emploi de techniques illégales. Car cela entraine la confusion dans tous les esprits. Et l'on en finit par légitimer certains actes de délinquance informatique.
???
Je ne suis pas pour leur faire comprendre par l'expérience et des attaques. Vous m'avez mal compris. Autant pour moi alors. Mais c'est plus limpide maintenant.
Je suis pour leur dire qu'un pare-feu ne protège pas contre tous les chevaux de Troie. Là oui formulé ainsi je suis d'accord avec vous.
Mais vous sous-entendiez qu'un FW est inutile contre les attaques par Trojan. C'est pourquoi je vous ai dit ne pas être d'accord avec vous. Toute contre mesure a ses limites et un FW ne fait pas exception.
Cela sème peut-être le doute mais... ce peut être une bonne chose aussi. Il est important d'informer/signaler les users des menaces, risques de
leurs logiciels ou matériels. Mais dire que telle contre-mesure (sic FW) ne sert à rien. C'est abérrant une bonne sécurité système repose sur une combinaison de contre-mesures.
C'est *grave* que certains croient qu'un pare-feu protège contre tous les chevaux de Troie. Tous les users ne sont pas des bidouilleurs, chercheurs, connaisseurs,
étudiants, passionnés ou professionnels etc. La plupart ne savent pas administrer leur environnement donc ne leur demander pas de gèrer leur niveau de sécurité.
C'est grave dans la mesure où ça montre qu'il y a encore du boulot au niveau de l'éducation. Bien entendu que le travail passe par l'enseignement, la pédagogie.
Certains éditeurs ont commis une grosse erreur avec un discours basé sur l'informatique pour tous. Ils portent une grande part de la responsabilité des problèmes que rencontrent certains users. Certes les environnements, les interfaces se sont adaptées/simplifiées pour répondre aux besoins des users. Mais pour se servir d'un ordinateur on doit d'abord apprendre ce que c'est, comment cela fonctionne, etc.
Je ne leur donne pas la faute, ce n'est pas ça que j'ai voulu exprimer. Ok pas de problème ;)
LaDDL
Anonyme de Webatou.net wrote:
LaDDL wrote:
L'analyse heuristique, ce n'est pas la recheche d'une "instruction". Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être exécuté par exemple.
Non. C'est ce qu'on se tue a vous dire. Lis mes posts d'aujourd'hui à l'attention de Fréd. Cela nous évitera les
redites. Merci de ta compréhension.
Il existe plusieurs types d'informations qui peuvent aider a conclure qu'un fichier a une nature virale. Entièrement d'accord.
Prenons par exemple l'analyseur heuristique ecrit il y a quelque temps de ca par Nicolas Brulez J'avais déjà vu son travail. Merci pour lui de l'avoir rappelé.
Anonyme de Webatou.net wrote:
LaDDL wrote:
L'analyse heuristique, ce n'est pas la recheche d'une "instruction".
Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être
exécuté par exemple.
Non. C'est ce qu'on se tue a vous dire.
Lis mes posts d'aujourd'hui à l'attention de Fréd. Cela nous évitera les
redites. Merci de ta compréhension.
Il existe plusieurs types
d'informations qui peuvent aider a conclure qu'un fichier a une
nature virale.
Entièrement d'accord.
Prenons par exemple l'analyseur heuristique ecrit
il y a quelque temps de ca par Nicolas Brulez
J'avais déjà vu son travail. Merci pour lui de l'avoir rappelé.
L'analyse heuristique, ce n'est pas la recheche d'une "instruction". Si et correspondant à des fonctions virales. L'analyseur recherchera du
code dont l'action est suspecte ou malveillante s'il vient à être exécuté par exemple.
Non. C'est ce qu'on se tue a vous dire. Lis mes posts d'aujourd'hui à l'attention de Fréd. Cela nous évitera les
redites. Merci de ta compréhension.
Il existe plusieurs types d'informations qui peuvent aider a conclure qu'un fichier a une nature virale. Entièrement d'accord.
Prenons par exemple l'analyseur heuristique ecrit il y a quelque temps de ca par Nicolas Brulez J'avais déjà vu son travail. Merci pour lui de l'avoir rappelé.
Frederic Bonroy
Noshi wrote:
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
Bonne question. Par signature justemment...
Ce n'est pas tellement une question de signature ou pas signature. C'est le vieux problème qui resurgit: ce qui est légitime sur mon ordinateur ne l'est pas forcément sur celui d'un autre.
Noshi wrote:
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes
par un AV a signature : comment un AV pourrait-il decider si
un serveur FTP ou un serveur Telnet est legitime ?
Bonne question. Par signature justemment...
Ce n'est pas tellement une question de signature ou pas signature. C'est
le vieux problème qui resurgit: ce qui est légitime sur mon ordinateur
ne l'est pas forcément sur celui d'un autre.
Enfin, tous les chevaux de Troie ne peuvent pas etre detectes par un AV a signature : comment un AV pourrait-il decider si un serveur FTP ou un serveur Telnet est legitime ?
Bonne question. Par signature justemment...
Ce n'est pas tellement une question de signature ou pas signature. C'est le vieux problème qui resurgit: ce qui est légitime sur mon ordinateur ne l'est pas forcément sur celui d'un autre.
LaDDL
AMcD® wrote:
Frederic Bonroy wrote:
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même ! Techniquement l'algorithme employé va permettre d'étudier s'il existe
des fréquences d'apparition et d'interrelation liées aux instructions. Mais la reconnaissance de modèles n'est pas fiable à 100%. C'est pourquoi d'autres algorithmes sont employés. Et ce qui fait la différence entre certains AV heuristique c'est leur taux de faux positifs.
AMcD® wrote:
Frederic Bonroy wrote:
Ça doit être une analyse statistique qui examine la présence et la
fréquence d'apparition de certaines instructions. Quand on sait par
exemple qu'un certain virus polymorphe ne génère que les instructions
A, B, et C et qu'on trouve dans une partie du code ces trois
instructions
en très grand nombre alors il est possible que ce fameux virus s'y
trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le
jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi
comment marche l'analyse spectrale. S'il s'agit de faire un relevé
statistique des opcodes et d'essayer de determiner leurlégitimité à se
trouver là, c'est un peu bidon quand même !
Techniquement l'algorithme employé va permettre d'étudier s'il existe
des fréquences d'apparition et d'interrelation liées aux instructions.
Mais la reconnaissance de modèles n'est pas fiable à 100%. C'est
pourquoi d'autres algorithmes sont employés.
Et ce qui fait la différence entre certains AV heuristique c'est leur
taux de faux positifs.
Ça doit être une analyse statistique qui examine la présence et la fréquence d'apparition de certaines instructions. Quand on sait par exemple qu'un certain virus polymorphe ne génère que les instructions A, B, et C et qu'on trouve dans une partie du code ces trois instructions en très grand nombre alors il est possible que ce fameux virus s'y trouve.
Cela me semble un peu naze quand même. En ce cas, tu n'as qu'à étendre le jeu d'instructions du moteur polymorphique. J'ai du mal à comprendre moi comment marche l'analyse spectrale. S'il s'agit de faire un relevé statistique des opcodes et d'essayer de determiner leurlégitimité à se trouver là, c'est un peu bidon quand même ! Techniquement l'algorithme employé va permettre d'étudier s'il existe
des fréquences d'apparition et d'interrelation liées aux instructions. Mais la reconnaissance de modèles n'est pas fiable à 100%. C'est pourquoi d'autres algorithmes sont employés. Et ce qui fait la différence entre certains AV heuristique c'est leur taux de faux positifs.
Frederic Bonroy
AMcD® wrote:
Eh bien ils le feront !
J'en doute, voir ci-dessous.
Tatata. Cela ça peut se planquer, se dissimuler.
Bien sûr. Mais en pratique, qui le fait? La plupart des auteurs de virus sont contents quand leur machin fonctionne. La prochaine étape alors c'est la diffusion, et pas le blindage. Hein, honnêtement, des virus vraiment bien camouflés, y en a beaucoup?
AMcD® wrote:
Eh bien ils le feront !
J'en doute, voir ci-dessous.
Tatata. Cela ça peut se planquer, se dissimuler.
Bien sûr. Mais en pratique, qui le fait? La plupart des auteurs de virus
sont contents quand leur machin fonctionne. La prochaine étape alors
c'est la diffusion, et pas le blindage. Hein, honnêtement, des virus
vraiment bien camouflés, y en a beaucoup?
Bien sûr. Mais en pratique, qui le fait? La plupart des auteurs de virus sont contents quand leur machin fonctionne. La prochaine étape alors c'est la diffusion, et pas le blindage. Hein, honnêtement, des virus vraiment bien camouflés, y en a beaucoup?
Frederic Bonroy
LaDDL wrote:
Mais là où je pense il y a une appréciation différente entre nous de c'est dans la démarche technique de l'analyseur spectral et heuristique.
Non. Je sais bien que ce que *vous* appelez "heuristique" et "spectral", ce sont deux choses différentes techniquement. Mais ils reposent tous les deux sur le principe de l'heuristique.
LaDDL wrote:
Mais là où je pense il y a une appréciation différente entre nous de
c'est dans la démarche technique de l'analyseur spectral et heuristique.
Non. Je sais bien que ce que *vous* appelez "heuristique" et "spectral",
ce sont deux choses différentes techniquement. Mais ils reposent tous
les deux sur le principe de l'heuristique.
Mais là où je pense il y a une appréciation différente entre nous de c'est dans la démarche technique de l'analyseur spectral et heuristique.
Non. Je sais bien que ce que *vous* appelez "heuristique" et "spectral", ce sont deux choses différentes techniquement. Mais ils reposent tous les deux sur le principe de l'heuristique.
