Je viens de formater mon disque dur et d'y installer tout Norton comme ça
m'est arrivé plusieurs fois dans ma vie. Le problème c'est que dès que je
lance l'Antivirus, liveupdate ou n'importe quoi d'autre, la fenetre reste 2
secondes et s'en va. Après une recherche sur internet, il parait qu'un virus
en est la cause. J'ai suivi la procédure pour l'enlever mais d'après le
programme, je n'avais pas ce virus.
Finalement, je ne sais toujours pas ce que j'ai comme problème. Si quelqu'un
sait, merci d'avance..
L'antivirus ne peut pas savoir quand le décompactage est terminé puisqu' une fois la vérification initiale faite, il ne suit plus le déroulement de ce programme.
A quoi servirait le moniteur alors?
A vérifier un fichier *avant* son lancement.
Le moniteur ne sert pas à observer le comportement d'un programme tout au long de son exécution, du moins pas dans la mesure où tu le penses. Il peut (éventuellement) empêcher des actions comme le formatage etc. mais c'est tout.
Juste le processus en cours d'exécution.
Des processus en cours d'exécution, il y en a des masses. Windows est multi-tâches. :-)
joke0 wrote:
L'antivirus ne peut pas savoir quand le décompactage est
terminé puisqu' une fois la vérification initiale faite, il ne
suit plus le déroulement de ce programme.
A quoi servirait le moniteur alors?
A vérifier un fichier *avant* son lancement.
Le moniteur ne sert pas à observer le comportement d'un programme tout
au long de son exécution, du moins pas dans la mesure où tu le penses.
Il peut (éventuellement) empêcher des actions comme le formatage etc.
mais c'est tout.
Juste le processus en cours d'exécution.
Des processus en cours d'exécution, il y en a des masses. Windows est
multi-tâches. :-)
L'antivirus ne peut pas savoir quand le décompactage est terminé puisqu' une fois la vérification initiale faite, il ne suit plus le déroulement de ce programme.
A quoi servirait le moniteur alors?
A vérifier un fichier *avant* son lancement.
Le moniteur ne sert pas à observer le comportement d'un programme tout au long de son exécution, du moins pas dans la mesure où tu le penses. Il peut (éventuellement) empêcher des actions comme le formatage etc. mais c'est tout.
Juste le processus en cours d'exécution.
Des processus en cours d'exécution, il y en a des masses. Windows est multi-tâches. :-)
joke0
Salut,
Frederic Bonroy:
A quoi servirait le moniteur alors?
A vérifier un fichier *avant* son lancement.
Et pas *pendant* son lancement? On m'aurait menti?
-- joke0
Salut,
Frederic Bonroy:
A quoi servirait le moniteur alors?
A vérifier un fichier *avant* son lancement.
Et pas *pendant* son lancement? On m'aurait menti?
Disons plutôt pendant le lancement mais avant exécution - et par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair. On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
-- joke0
Salut,
Frederic Bonroy:
Disons plutôt pendant le lancement mais avant exécution - et
par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un
moment donné, le PE se retrouve en mémoire en clair. On pourrait
imaginer que NAV n'est pas capable de détecter un packer, mais
il est capable de repérer qu'il y une routine de décompactage et
d'en repérer l'effet: l'écriture en clair du PE en mémoire.
Disons plutôt pendant le lancement mais avant exécution - et par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair. On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
-- joke0
djehuti
"joke0" a écrit dans le message news:
Salut,
Frederic Bonroy:
Disons plutôt pendant le lancement mais avant exécution - et par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair. On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
bah, les packers sont détectés par des signatures et la routine de décompression n'est pas cryptée
le problème (comme pour l'émulateur de Frederic) c'est de savoir quand s'arrêter, non ?
ps: PEiD v0.92 est dispo :-D
@tchao
"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message news:
XnF94A4B52BE7337joke0@127.0.0.1
Salut,
Frederic Bonroy:
Disons plutôt pendant le lancement mais avant exécution - et
par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un
moment donné, le PE se retrouve en mémoire en clair. On pourrait
imaginer que NAV n'est pas capable de détecter un packer, mais
il est capable de repérer qu'il y une routine de décompactage et
d'en repérer l'effet: l'écriture en clair du PE en mémoire.
bah, les packers sont détectés par des signatures
et la routine de décompression n'est pas cryptée
le problème (comme pour l'émulateur de Frederic) c'est de savoir quand
s'arrêter, non ?
Disons plutôt pendant le lancement mais avant exécution - et par conséquent avec le décompactage qui nécessite l'exécution.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair. On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
bah, les packers sont détectés par des signatures et la routine de décompression n'est pas cryptée
le problème (comme pour l'émulateur de Frederic) c'est de savoir quand s'arrêter, non ?
ok... mais je parlais bien de l'instant *t* (quand le packer a terminé son boulot et va "donner la main" au dépacké)
C'est repérable heuristiquement mais alors il faut émuler. Et un moniteur qui émule jusqu'à ce que cela se produise risque de ralentir quelque peu le système. :-D
Non, marche bien pour l'instant. En fait j'ai dépassé le stade de l'émulation. :-)
C'est bien joli l'émulation, mais une fois terminée faut aussi identifier le virus...
djehuti wrote:
ok... mais je parlais bien de l'instant *t*
(quand le packer a terminé son boulot et va "donner la main" au dépacké)
C'est repérable heuristiquement mais alors il faut émuler. Et un
moniteur qui émule jusqu'à ce que cela se produise risque de ralentir
quelque peu le système. :-D
Non, marche bien pour l'instant. En fait j'ai dépassé le stade de
l'émulation. :-)
ok... mais je parlais bien de l'instant *t* (quand le packer a terminé son boulot et va "donner la main" au dépacké)
C'est repérable heuristiquement mais alors il faut émuler. Et un moniteur qui émule jusqu'à ce que cela se produise risque de ralentir quelque peu le système. :-D
Non, marche bien pour l'instant. En fait j'ai dépassé le stade de l'émulation. :-)
