F-Prot DOS propose tout un tas d'options en ligne de
commande, on peut en obtenir la liste en utilisant f-prot /?
ou f-prot /HELP. Parmi celles-ci, l'option /ONLYHEUR permet,
selon l'aide, d'uiliser seulement les heuristiques, sans
le scan "classique" (Only use heuristics, not "normal"
scanning). Le mode /NOHEUR permet quant a lui de desactiver
les heuristiques.
J'ai teste' ces deux options et j'ai ete surpris des resultats :
avec /ONLYHEUR, F-Prot continue a identifier precisement certains
vers (entre autres bugbear, Kindal), mais il en omet la majorite'.
Il continue aussi a detecter tout (?) ce qui est nomme' de maniere
generique (is a security risk or a backdor program, is a virus
dropper...). Quelques fichiers (de mon jeu de de test microscopique)
sont detectes par les heuristiques et portent la mention "could be
infected with an unknown virus" (malheureusement, ce sont tous des
faux positifs).
Avec /NOHEUR, il detecte et identifie bien sur les vers presents
dans sa base de donnee, et il continue aussi (ce qui est normal)
a detecter ceux designes sous un nom generique ("is a security
risk...").
J'ai aussi un peu jouer avec l'option /AI (qui controle l'activation
de la detecion heuristique par reseaux de neurones). Cette option a eu
pour seul effet quelques rares faux positifs supplementaires.
Le resultat du scan effectue avec /NOHEUR me parait coherent, et
correspond tout a fait a mes attentes. Par contre, je suis tres
etonne' du resulat du scan effectue' avec /ONLYHEUR, et je ne crois
pas que seuls les heuristiques sont utilises dans ce cas. Quelqu'un
aurait une explication a ce phenomene ? Dois-je comprendre que, dans
ce mode, f-prot ne cherche a identifier au moyen de "signatures" que
ce qui a ete' detecte' de maniere heuristique ?
Autre question : quelqu'un sait-il a quoi correspond concretement
cette fameuse "detection par reseau de neurones" ? Des pointeurs
la dessus ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Frederic Bonroy
Tweakie wrote:
Avec /NOHEUR, il detecte et identifie bien sur les vers presents dans sa base de donnee, et il continue aussi (ce qui est normal) a detecter ceux designes sous un nom generique ("is a security risk...").
Ce n'est pas une détection générique. Il me semble que Frisk avait dit que les bestioles signalées de cette manière étaient bien *identifiées* (et pas seulement détectées).
Tweakie wrote:
Avec /NOHEUR, il detecte et identifie bien sur les vers presents
dans sa base de donnee, et il continue aussi (ce qui est normal)
a detecter ceux designes sous un nom generique ("is a security
risk...").
Ce n'est pas une détection générique. Il me semble que Frisk avait dit
que les bestioles signalées de cette manière étaient bien *identifiées*
(et pas seulement détectées).
Avec /NOHEUR, il detecte et identifie bien sur les vers presents dans sa base de donnee, et il continue aussi (ce qui est normal) a detecter ceux designes sous un nom generique ("is a security risk...").
Ce n'est pas une détection générique. Il me semble que Frisk avait dit que les bestioles signalées de cette manière étaient bien *identifiées* (et pas seulement détectées).
Tweakie
On Fri, 12 Dec 2003, Frederic Bonroy wrote:
Tweakie wrote:
Ce n'est pas une détection générique. Il me semble que Frisk avait dit que les bestioles signalées de cette manière étaient bien *identifi ées* (et pas seulement détectées).
On est d'accord, je me suis mal exprime'. Mais ca n'explique pas pour autant le comportement curieux du /ONLYHEUR...
-- Tweakie
On Fri, 12 Dec 2003, Frederic Bonroy wrote:
Tweakie wrote:
Ce n'est pas une détection générique. Il me semble que Frisk avait dit
que les bestioles signalées de cette manière étaient bien *identifi ées*
(et pas seulement détectées).
On est d'accord, je me suis mal exprime'. Mais ca n'explique pas
pour autant le comportement curieux du /ONLYHEUR...
Ce n'est pas une détection générique. Il me semble que Frisk avait dit que les bestioles signalées de cette manière étaient bien *identifi ées* (et pas seulement détectées).
On est d'accord, je me suis mal exprime'. Mais ca n'explique pas pour autant le comportement curieux du /ONLYHEUR...
-- Tweakie
joke0
Salut,
Tweakie:
F-Prot DOS propose tout un tas d'options en ligne de commande, on peut en obtenir la liste en utilisant f-prot /? ou f-prot /HELP.
Il y en a d'autres "cachées" dont j'ai une fois fait la liste: http://google.fr/groups?selm=
J'ai teste' ces deux options et j'ai ete surpris des resultats : avec /ONLYHEUR, F-Prot continue a identifier precisement certains vers (entre autres bugbear, Kindal), mais il en omet la majorite'.
A première vue, je dirais que les analystes se sont servis de ces deux vers pour construire certaines "heuristiques". Il serait donc logique que FP les reconnaisse particulièrement bien.
Il continue aussi a detecter tout (?) ce qui est nomme' de maniere generique (is a security risk or a backdor program, is a virus dropper...).
F-Prot ne nomme quasiment jamais ce genre de malwares par leurs noms (à part les célébrités genre subseven).
Avec /NOHEUR, il detecte et identifie bien sur les vers presents dans sa base de donnee, et il continue aussi (ce qui est normal) a detecter ceux designes sous un nom generique ("is a security risk...").
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
-- joke0
Salut,
Tweakie:
F-Prot DOS propose tout un tas d'options en ligne de
commande, on peut en obtenir la liste en utilisant f-prot /?
ou f-prot /HELP.
Il y en a d'autres "cachées" dont j'ai une fois fait la liste:
http://google.fr/groups?selm=XnF93E29941950484164N@joke0.net
J'ai teste' ces deux options et j'ai ete surpris des resultats
: avec /ONLYHEUR, F-Prot continue a identifier precisement
certains vers (entre autres bugbear, Kindal), mais il en omet
la majorite'.
A première vue, je dirais que les analystes se sont servis de
ces deux vers pour construire certaines "heuristiques". Il serait
donc logique que FP les reconnaisse particulièrement bien.
Il continue aussi a detecter tout (?) ce qui est nomme' de
maniere generique (is a security risk or a backdor program, is
a virus dropper...).
F-Prot ne nomme quasiment jamais ce genre de malwares par leurs
noms (à part les célébrités genre subseven).
Avec /NOHEUR, il detecte et identifie bien sur les vers
presents dans sa base de donnee, et il continue aussi (ce qui
est normal) a detecter ceux designes sous un nom generique
("is a security risk...").
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase:
« Only use heuristics, not "normal" scanning » :-)
F-Prot DOS propose tout un tas d'options en ligne de commande, on peut en obtenir la liste en utilisant f-prot /? ou f-prot /HELP.
Il y en a d'autres "cachées" dont j'ai une fois fait la liste: http://google.fr/groups?selm=
J'ai teste' ces deux options et j'ai ete surpris des resultats : avec /ONLYHEUR, F-Prot continue a identifier precisement certains vers (entre autres bugbear, Kindal), mais il en omet la majorite'.
A première vue, je dirais que les analystes se sont servis de ces deux vers pour construire certaines "heuristiques". Il serait donc logique que FP les reconnaisse particulièrement bien.
Il continue aussi a detecter tout (?) ce qui est nomme' de maniere generique (is a security risk or a backdor program, is a virus dropper...).
F-Prot ne nomme quasiment jamais ce genre de malwares par leurs noms (à part les célébrités genre subseven).
Avec /NOHEUR, il detecte et identifie bien sur les vers presents dans sa base de donnee, et il continue aussi (ce qui est normal) a detecter ceux designes sous un nom generique ("is a security risk...").
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
-- joke0
Frederic Bonroy
joke0 wrote:
A première vue, je dirais que les analystes se sont servis de ces deux vers pour construire certaines "heuristiques". Il serait donc logique que FP les reconnaisse particulièrement bien.
Hmmm...
Autre hypothèse: il s'agit de vers tellement répandus qu'il est dans l'intérêt de l'utilisateur de les identifier.
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
Peut-être de notre point de vue, mais on ne sait pas comment ça fonctionne en interne.
joke0 wrote:
A première vue, je dirais que les analystes se sont servis de
ces deux vers pour construire certaines "heuristiques". Il serait
donc logique que FP les reconnaisse particulièrement bien.
Hmmm...
Autre hypothèse: il s'agit de vers tellement répandus qu'il est dans
l'intérêt de l'utilisateur de les identifier.
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase:
« Only use heuristics, not "normal" scanning » :-)
Peut-être de notre point de vue, mais on ne sait pas comment ça
fonctionne en interne.
A première vue, je dirais que les analystes se sont servis de ces deux vers pour construire certaines "heuristiques". Il serait donc logique que FP les reconnaisse particulièrement bien.
Hmmm...
Autre hypothèse: il s'agit de vers tellement répandus qu'il est dans l'intérêt de l'utilisateur de les identifier.
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
Peut-être de notre point de vue, mais on ne sait pas comment ça fonctionne en interne.
joke0
Salut,
Frederic Bonroy:
Autre hypothèse: il s'agit de vers tellement répandus qu'il est dans l'intérêt de l'utilisateur de les identifier.
Clairement non. J'ai fais le test sur un échantillon important et il y a des bestioles de collection qui sont détectées: W32/Batzback.* W32/Sahay.A W32/Sinapps.A (Napsin).
Je crois vraiment que ces vers ont servis de modèles. Je n'ai pas regardé précisément, mais j'ai l'impression que la plupart sont écrits en C/C++ ou Delphi.
Scan sur un échantillon important de I-Worm [KAV]: # /DUMB /ARCHIVE /PACKED /NOMEM /COLLECT Files: 100% Infected: 64.15% Suspicious: 24,9%
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
Peut-être de notre point de vue, mais on ne sait pas comment ça fonctionne en interne.
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
-- joke0
Salut,
Frederic Bonroy:
Autre hypothèse: il s'agit de vers tellement répandus qu'il
est dans l'intérêt de l'utilisateur de les identifier.
Clairement non. J'ai fais le test sur un échantillon important
et il y a des bestioles de collection qui sont détectées:
W32/Batzback.* W32/Sahay.A W32/Sinapps.A (Napsin).
Je crois vraiment que ces vers ont servis de modèles. Je n'ai
pas regardé précisément, mais j'ai l'impression que la plupart
sont écrits en C/C++ ou Delphi.
Scan sur un échantillon important de I-Worm [KAV]:
# /DUMB /ARCHIVE /PACKED /NOMEM /COLLECT
Files: 100%
Infected: 64.15%
Suspicious: 24,9%
Autre hypothèse: il s'agit de vers tellement répandus qu'il est dans l'intérêt de l'utilisateur de les identifier.
Clairement non. J'ai fais le test sur un échantillon important et il y a des bestioles de collection qui sont détectées: W32/Batzback.* W32/Sahay.A W32/Sinapps.A (Napsin).
Je crois vraiment que ces vers ont servis de modèles. Je n'ai pas regardé précisément, mais j'ai l'impression que la plupart sont écrits en C/C++ ou Delphi.
Scan sur un échantillon important de I-Worm [KAV]: # /DUMB /ARCHIVE /PACKED /NOMEM /COLLECT Files: 100% Infected: 64.15% Suspicious: 24,9%
Il doit y avoir un "léger mensonge" de F-Prot dans la phrase: « Only use heuristics, not "normal" scanning » :-)
Peut-être de notre point de vue, mais on ne sait pas comment ça fonctionne en interne.
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
-- joke0
Frederic Bonroy
joke0 wrote:
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité est également restée la même. Ah, quelle différence avec ces antivirus à la noix qui changent d'interface toutes les 30 secondes...
joke0 wrote:
Tu demandes à F. Skulason en échange d'une des versions F-Prot
1.x qu'il recherche ;o)
<news:fcd2fc13.0312120323.10af79da@posting.google.com>
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité
est également restée la même. Ah, quelle différence avec ces antivirus à
la noix qui changent d'interface toutes les 30 secondes...
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité est également restée la même. Ah, quelle différence avec ces antivirus à la noix qui changent d'interface toutes les 30 secondes...
Frederic Bonroy
joke0 wrote:
Il me semble avoir vu une 1.x récemment sur le net ou alors s'était dans un vieux zine :-/
Je vais lui répondre sur le forum... on va voir.
joke0 wrote:
Il me semble avoir vu une 1.x récemment sur le net ou alors
s'était dans un vieux zine :-/
Il me semble avoir vu une 1.x récemment sur le net ou alors s'était dans un vieux zine :-/
Je vais lui répondre sur le forum... on va voir.
Ernest
Frederic Bonroy wrote:
joke0 wrote:
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité est également restée la même. Ah, quelle différence avec ces antivirus à la noix qui changent d'interface toutes les 30 secondes...
t'as la même inter *face* qu'il y a dix ans ? :-)
Frederic Bonroy wrote:
joke0 wrote:
Tu demandes à F. Skulason en échange d'une des versions F-Prot
1.x qu'il recherche ;o)
<news:fcd2fc13.0312120323.10af79da@posting.google.com>
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité
est également restée la même. Ah, quelle différence avec ces antivirus à
la noix qui changent d'interface toutes les 30 secondes...
Tu demandes à F. Skulason en échange d'une des versions F-Prot 1.x qu'il recherche ;o) <news:
La plus ancienne en ma possession est la 2.11 de février 1994. :-)
En fait l'interface n'a pas tellement en changé en 10 ans, et la qualité est également restée la même. Ah, quelle différence avec ces antivirus à la noix qui changent d'interface toutes les 30 secondes...
