Frederic Bonroy:
> Réaliser un bon test antivirus n'est pas à la portée de tout
> le monde. Il faut le reconnaître.
Je dirais même que c'est impossible d'en réaliser un
scientifiquement parfait. Ne serait-ce que pour constituer un
échantillon, tu es obligé de te servir d'un antivirus et
forcément tu influes sur la constitution de cet échantillon.
> Ah ben oui mais comment savons-nous qu'il s'agit d'un
> collectionneur sérieux?
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra
sérieux. Je ne pense pas qu'il y ait tant de personnes qui
peuvent rivaliser.
> Donc une grande quantité de virus compenserait une erreur
> fondamentale commise lors du choix des échantillons? Pas
> propre ça, c'est palliatif.
Quelle serait ta méthode pour constituer un échantillon idéal?
> Si Sobig.F a toujours été distribué en tElock, alors je ne
> vois pas l'intérêt de le décompacter - il faut le tester tel
> quel.
C'est pour ça que j'en parle, les collectionneurs ont l'habitude
de systématiquement dépacker les vers.
Cela dit, j'ai contacté VirusP et il m'a répondu qu'il cherchait
un serveur nntp. On verra bien s'il montre son nez ;-)
Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur. Le problème c'est qu'on est en 2004 et qu'il y a plus de 100 000 variantes/versions différentes de virus et autres cochonneries connues. Il est trop tard pour commencer à constituer une bonne collection.
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux.
Je suis déjà tombé sur des dizaines de sites proposant des Zips de virus. :-)
Quelle serait ta méthode pour constituer un échantillon idéal?
J'y reviendrai plus tard.
joke0 wrote:
Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et
forcément tu influes sur la constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus sans
antivirus avec un désassembleur et/ou un débogueur. Le problème c'est
qu'on est en 2004 et qu'il y a plus de 100 000 variantes/versions
différentes de virus et autres cochonneries connues. Il est trop tard
pour commencer à constituer une bonne collection.
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra
sérieux.
Je suis déjà tombé sur des dizaines de sites proposant des Zips de
virus. :-)
Quelle serait ta méthode pour constituer un échantillon idéal?
Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur. Le problème c'est qu'on est en 2004 et qu'il y a plus de 100 000 variantes/versions différentes de virus et autres cochonneries connues. Il est trop tard pour commencer à constituer une bonne collection.
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux.
Je suis déjà tombé sur des dizaines de sites proposant des Zips de virus. :-)
Quelle serait ta méthode pour constituer un échantillon idéal?
J'y reviendrai plus tard.
joke0
Salut,
Frederic Bonroy:
Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux.
...et bien approvisionné.
Je suis déjà tombé sur des dizaines de sites proposant des Zips de virus. :-)
T'arrives pas à plus de 5000 différents depuis qu'un certain site est off-line. Peut-être 11000 avec ce site.
D'après la discussion sur aca-v, il semble que par contre il n'est pas du tout sérieux pour maintenir l'état de sa collection et là je suis surpris :-( Nous avons échangé quelques mails et j'espère qu'il répondra à mes questions sur le test des bestioles dans VMWare et sur les packers.
-- joke0
Salut,
Frederic Bonroy:
Ne serait-ce que pour constituer un échantillon, tu es obligé
de te servir d'un antivirus et forcément tu influes sur la
constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus
sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
Quand tu arrives à réunir 50000 bestioles c'est que tu es
ultra sérieux.
...et bien approvisionné.
Je suis déjà tombé sur des dizaines de sites proposant des
Zips de virus. :-)
T'arrives pas à plus de 5000 différents depuis qu'un certain
site est off-line. Peut-être 11000 avec ce site.
D'après la discussion sur aca-v, il semble que par contre il
n'est pas du tout sérieux pour maintenir l'état de sa collection
et là je suis surpris :-(
Nous avons échangé quelques mails et j'espère qu'il répondra à
mes questions sur le test des bestioles dans VMWare et sur les
packers.
Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux.
...et bien approvisionné.
Je suis déjà tombé sur des dizaines de sites proposant des Zips de virus. :-)
T'arrives pas à plus de 5000 différents depuis qu'un certain site est off-line. Peut-être 11000 avec ce site.
D'après la discussion sur aca-v, il semble que par contre il n'est pas du tout sérieux pour maintenir l'état de sa collection et là je suis surpris :-( Nous avons échangé quelques mails et j'espère qu'il répondra à mes questions sur le test des bestioles dans VMWare et sur les packers.
-- joke0
Frederic Bonroy
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
C'est le seul moyen, un antivirus n'étant pas fiable. Un antivirus peut servir à identifier un virus, et encore, il peut se tromper.
T'arrives pas à plus de 5000 différents depuis qu'un certain site est off-line. Peut-être 11000 avec ce site.
Ah, CE site. ;-) Non, en fait je ne parlais pas de lui, mais bien de sites sur lesquels on peut tomber en explorant suffisamment longtemps la liste des liens fournis par Google quand on fait une recherche pour [censuré].¹
D'après la discussion sur aca-v, il semble que par contre il n'est pas du tout sérieux pour maintenir l'état de sa collection et là je suis surpris :-(
La confiance est bonne, le contrôle est meilleur. Vieux proverbe allemand.
______________________ ¹ Pas la peine que tout le monde ici le fasse. :-)
Non, pas forcément, tu peux analyser et identifier un virus
sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
C'est le seul moyen, un antivirus n'étant pas fiable. Un antivirus peut
servir à identifier un virus, et encore, il peut se tromper.
T'arrives pas à plus de 5000 différents depuis qu'un certain
site est off-line. Peut-être 11000 avec ce site.
Ah, CE site. ;-) Non, en fait je ne parlais pas de lui, mais bien de
sites sur lesquels on peut tomber en explorant suffisamment longtemps la
liste des liens fournis par Google quand on fait une recherche pour
[censuré].¹
D'après la discussion sur aca-v, il semble que par contre il
n'est pas du tout sérieux pour maintenir l'état de sa collection
et là je suis surpris :-(
La confiance est bonne, le contrôle est meilleur. Vieux proverbe allemand.
______________________
¹ Pas la peine que tout le monde ici le fasse. :-)
Non, pas forcément, tu peux analyser et identifier un virus sans antivirus avec un désassembleur et/ou un débogueur.
Rêvons un peu ;-)
C'est le seul moyen, un antivirus n'étant pas fiable. Un antivirus peut servir à identifier un virus, et encore, il peut se tromper.
T'arrives pas à plus de 5000 différents depuis qu'un certain site est off-line. Peut-être 11000 avec ce site.
Ah, CE site. ;-) Non, en fait je ne parlais pas de lui, mais bien de sites sur lesquels on peut tomber en explorant suffisamment longtemps la liste des liens fournis par Google quand on fait une recherche pour [censuré].¹
D'après la discussion sur aca-v, il semble que par contre il n'est pas du tout sérieux pour maintenir l'état de sa collection et là je suis surpris :-(
La confiance est bonne, le contrôle est meilleur. Vieux proverbe allemand.
______________________ ¹ Pas la peine que tout le monde ici le fasse. :-)
Frederic Bonroy
J'ai dit:
Quelle serait ta méthode pour constituer un échantillon idéal?
J'y reviendrai plus tard.
N'étant pas expert en la matière, je ne peux pas te donner de réponse, mais le copain à Arnold à écrit un petit exposé là-dessus: http://www.virusbtn.com/old/OtherPapers/VirLib
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben c'est simple, faut avoir commencé la collection suffisamment tôt parce que réunir suffisamment d'échantillons en quelques jours doit être assez difficile surtout si on ne connaît personne qui pourrait fournir de l'assistance (et des virus) Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces échantillons sont viables. Il faudra aussi décider combien on choisit d'échantillons d'un même virus.
Etc.
J'ai dit:
Quelle serait ta méthode pour constituer un échantillon idéal?
J'y reviendrai plus tard.
N'étant pas expert en la matière, je ne peux pas te donner de réponse,
mais le copain à Arnold à écrit un petit exposé là-dessus:
http://www.virusbtn.com/old/OtherPapers/VirLib
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus
en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben
c'est simple, faut avoir commencé la collection suffisamment tôt parce
que réunir suffisamment d'échantillons en quelques jours doit être assez
difficile surtout si on ne connaît personne qui pourrait fournir de
l'assistance (et des virus)
Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces
échantillons sont viables.
Il faudra aussi décider combien on choisit d'échantillons d'un même virus.
Quelle serait ta méthode pour constituer un échantillon idéal?
J'y reviendrai plus tard.
N'étant pas expert en la matière, je ne peux pas te donner de réponse, mais le copain à Arnold à écrit un petit exposé là-dessus: http://www.virusbtn.com/old/OtherPapers/VirLib
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben c'est simple, faut avoir commencé la collection suffisamment tôt parce que réunir suffisamment d'échantillons en quelques jours doit être assez difficile surtout si on ne connaît personne qui pourrait fournir de l'assistance (et des virus) Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces échantillons sont viables. Il faudra aussi décider combien on choisit d'échantillons d'un même virus.
Etc.
Roland Garcia
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben c'est simple, faut avoir commencé la collection suffisamment tôt parce que réunir suffisamment d'échantillons en quelques jours doit être assez difficile surtout si on ne connaît personne qui pourrait fournir de l'assistance (et des virus) Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces échantillons sont viables.
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
A peu près au même niveau on doit retrouver NAI également anti-virus de collections, et à part F-Prot qui permet de les identifier "exact" ou "modifié" les autres éditeurs s'y intéressant beaucoup moins ont des chances d'être en dessous.
On objectera que tout ceci n'a pas d'intérêt mais quand on fait des tests de détection sur des trojans réellement en circulation on obtient les mêmes résultats/classements.
Roland Garcia
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus
en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben
c'est simple, faut avoir commencé la collection suffisamment tôt parce
que réunir suffisamment d'échantillons en quelques jours doit être assez
difficile surtout si on ne connaît personne qui pourrait fournir de
l'assistance (et des virus)
Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces
échantillons sont viables.
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un
anti-virus de collections détectera même ceux qui ne marchent pas en les
déclarant .corrupted ou .intended
A peu près au même niveau on doit retrouver NAI également anti-virus de
collections, et à part F-Prot qui permet de les identifier "exact" ou
"modifié" les autres éditeurs s'y intéressant beaucoup moins ont des
chances d'être en dessous.
On objectera que tout ceci n'a pas d'intérêt mais quand on fait des
tests de détection sur des trojans réellement en circulation on obtient
les mêmes résultats/classements.
En bref, faut déjà savoir ce qu'on veut tester. La détection des virus en liberté? Les vieux virus? Les chevaux de Troie? Tout? Ensuite, ben c'est simple, faut avoir commencé la collection suffisamment tôt parce que réunir suffisamment d'échantillons en quelques jours doit être assez difficile surtout si on ne connaît personne qui pourrait fournir de l'assistance (et des virus) Puis, à un moment donné il faudra vérifier ou avoir vérifié que ces échantillons sont viables.
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
A peu près au même niveau on doit retrouver NAI également anti-virus de collections, et à part F-Prot qui permet de les identifier "exact" ou "modifié" les autres éditeurs s'y intéressant beaucoup moins ont des chances d'être en dessous.
On objectera que tout ceci n'a pas d'intérêt mais quand on fait des tests de détection sur des trojans réellement en circulation on obtient les mêmes résultats/classements.
Roland Garcia
joke0
Salut,
Frederic Bonroy:
mais le copain à Arnold
Vesselin Vladimirov 'I am not Dark Avenger' Bontchev? :o))
Le type m'a répondu: « qu'il n'unpacke pas, mais qu'il décompresse seulement (zip, rar...)
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
-- joke0
Salut,
Frederic Bonroy:
mais le copain à Arnold
Vesselin Vladimirov 'I am not Dark Avenger' Bontchev? :o))
Le type m'a répondu: « qu'il n'unpacke pas, mais qu'il
décompresse seulement (zip, rar...)
Pour le plus important:
« Je ne teste pas la viabilité des malwares, et je ne l'ai
jamais fait; par contre, d'autres Vxers le font et j'utilise
leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors
de ma collection »
Vesselin Vladimirov 'I am not Dark Avenger' Bontchev? :o))
Le type m'a répondu: « qu'il n'unpacke pas, mais qu'il décompresse seulement (zip, rar...)
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
-- joke0
joke0
Salut,
Roland Garcia:
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais soumis n'était pas viables (seulement intended), mais ça n'a pas empêché KAV de les détecter sans indication de leur non-viabilité. Il faut voir aussi que cela permet de contrer l'apparition d'un bestiole viable. J'imagine pas trop les techniciens du labo essayant de déboguer la bête pour voir quelle tête elle aurait alors :o)
-- joke0
Salut,
Roland Garcia:
Encore que le moteur de Kaspersky (ici les trois premiers) qui
est un anti-virus de collections détectera même ceux qui ne
marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais
soumis n'était pas viables (seulement intended), mais ça n'a
pas empêché KAV de les détecter sans indication de leur
non-viabilité. Il faut voir aussi que cela permet de contrer
l'apparition d'un bestiole viable. J'imagine pas trop les
techniciens du labo essayant de déboguer la bête pour voir
quelle tête elle aurait alors :o)
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais soumis n'était pas viables (seulement intended), mais ça n'a pas empêché KAV de les détecter sans indication de leur non-viabilité. Il faut voir aussi que cela permet de contrer l'apparition d'un bestiole viable. J'imagine pas trop les techniciens du labo essayant de déboguer la bête pour voir quelle tête elle aurait alors :o)
-- joke0
Roland Garcia
Salut,
Roland Garcia:
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais soumis n'était pas viables (seulement intended), mais ça n'a pas empêché KAV de les détecter sans indication de leur non-viabilité.
Ce n'est qu'en cas de non détection qu'ils rajoutent une signature .corrupted, .intended c'est pour ceux qui n'ont jamais marché.
Il y a deux philosophies extrêmes:
- On détecte *tous* les virus qui fonctionnent mais également leurs variantes qui ne fonctionnent pas, c'est le principe de précaution. - On ne met que ceux déclarés dans la nature et seulement leurs variantes qui fonctionnent.
La loi de Murphy donne souvent raison au premier. Un seul exemple, un Magistr.corrupted dans un fichier système n'infecte pas mais peut être la cause de bugs inexpliqués faisant perdre beaucoup de temps.
Roland Garcia
Salut,
Roland Garcia:
Encore que le moteur de Kaspersky (ici les trois premiers) qui
est un anti-virus de collections détectera même ceux qui ne
marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais
soumis n'était pas viables (seulement intended), mais ça n'a
pas empêché KAV de les détecter sans indication de leur
non-viabilité.
Ce n'est qu'en cas de non détection qu'ils rajoutent une signature
.corrupted, .intended c'est pour ceux qui n'ont jamais marché.
Il y a deux philosophies extrêmes:
- On détecte *tous* les virus qui fonctionnent mais également leurs
variantes qui ne fonctionnent pas, c'est le principe de précaution.
- On ne met que ceux déclarés dans la nature et seulement leurs
variantes qui fonctionnent.
La loi de Murphy donne souvent raison au premier. Un seul exemple, un
Magistr.corrupted dans un fichier système n'infecte pas mais peut être
la cause de bugs inexpliqués faisant perdre beaucoup de temps.
Encore que le moteur de Kaspersky (ici les trois premiers) qui est un anti-virus de collections détectera même ceux qui ne marchent pas en les déclarant .corrupted ou .intended
Assez rarement en fait.
Leur labo m'a souvent indiqué que des virus/vers que j'avais soumis n'était pas viables (seulement intended), mais ça n'a pas empêché KAV de les détecter sans indication de leur non-viabilité.
Ce n'est qu'en cas de non détection qu'ils rajoutent une signature .corrupted, .intended c'est pour ceux qui n'ont jamais marché.
Il y a deux philosophies extrêmes:
- On détecte *tous* les virus qui fonctionnent mais également leurs variantes qui ne fonctionnent pas, c'est le principe de précaution. - On ne met que ceux déclarés dans la nature et seulement leurs variantes qui fonctionnent.
La loi de Murphy donne souvent raison au premier. Un seul exemple, un Magistr.corrupted dans un fichier système n'infecte pas mais peut être la cause de bugs inexpliqués faisant perdre beaucoup de temps.
Roland Garcia
Frederic Bonroy
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
Pour le plus important:
« Je ne teste pas la viabilité des malwares, et je ne l'ai
jamais fait; par contre, d'autres Vxers le font et j'utilise
leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors
de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
Roland Garcia
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
La seule méthode viable est de les essayer, des labos m'ont plusieurs fois prétendu à la va vite que l'échantillon soumis était corrompu alors qu'il se dupliquait.
Roland Garcia
Pour le plus important:
« Je ne teste pas la viabilité des malwares, et je ne l'ai
jamais fait; par contre, d'autres Vxers le font et j'utilise
leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors
de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
La seule méthode viable est de les essayer, des labos m'ont plusieurs
fois prétendu à la va vite que l'échantillon soumis était corrompu alors
qu'il se dupliquait.
Pour le plus important: « Je ne teste pas la viabilité des malwares, et je ne l'ai jamais fait; par contre, d'autres Vxers le font et j'utilise leurs outils. J'ai déjà dégagé plusieurs milliers de faux hors de ma collection »
J'aimerais bien savoir avec quels outils ils testent la viabilité...
La seule méthode viable est de les essayer, des labos m'ont plusieurs fois prétendu à la va vite que l'échantillon soumis était corrompu alors qu'il se dupliquait.
