Bonjour tout le monde,
J'aimerais savoir quelque trucs pour programmer un antivirus.
C'est a dire comment sont stockes les signatures (cryptage, base
cryptee, ...)
Comment creer un moteur de balayage efficace?
en fait un descriptif technique de comment on fait un antivirus SVP
Derniere question comment gerer le fait du grossisement de la base des
signatures (je crois savoir que beaucoup de vieux virus sont effaces
des bases par les editerurs non?)
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour les enfants, parce que les virus sont considérés comme disparus. Il n'est pas impossible qu'à un moment, certains éditeurs aient
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode: http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Roland Garcia
Olivier Aichelbaum skreiv:
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour
les enfants, parce que les virus sont considérés comme disparus.
Il n'est pas impossible qu'à un moment, certains éditeurs aient
McAfee a remplacé les signatures de virus très anciens par des
signatures génériques. Ça fait que tout en retirant des signatures on
détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode:
http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour les enfants, parce que les virus sont considérés comme disparus. Il n'est pas impossible qu'à un moment, certains éditeurs aient
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode: http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Roland Garcia wrote:
Le fil porte dès le départ sur le fait mensonger que les vieux virus seraient enlevés des bases virales.
Que cela ne soit pas le cas aujourd'hui ne veut pas dire que cela ne l'a jamais été.
Et cela concerne tous les antivirus non ?
Non.
Je voulais dire que tous les éditeurs antivirus cherchent à être exhaustifs de nos jours.
Vous auriez un exemple du contraire ?
Alors pourquoi citer encore et toujours KAV monsieur l'indépendant ?
Lui aurait détecté ce virus.
C'est le seul ?
Allons allons !
-- Olivier Aichelbaum
Roland Garcia wrote:
Roland Garcia wrote:
Le fil porte dès le départ sur le fait mensonger que les vieux virus
seraient enlevés des bases virales.
Que cela ne soit pas le cas aujourd'hui ne veut pas dire que
cela ne l'a jamais été.
Et cela concerne tous les antivirus non ?
Non.
Je voulais dire que tous les éditeurs antivirus cherchent à être
exhaustifs de nos jours.
Vous auriez un exemple du contraire ?
Alors pourquoi citer
encore et toujours KAV monsieur l'indépendant ?
Le fil porte dès le départ sur le fait mensonger que les vieux virus seraient enlevés des bases virales.
Que cela ne soit pas le cas aujourd'hui ne veut pas dire que cela ne l'a jamais été.
Et cela concerne tous les antivirus non ?
Non.
Je voulais dire que tous les éditeurs antivirus cherchent à être exhaustifs de nos jours.
Vous auriez un exemple du contraire ?
Alors pourquoi citer encore et toujours KAV monsieur l'indépendant ?
Lui aurait détecté ce virus.
C'est le seul ?
Allons allons !
-- Olivier Aichelbaum
Olivier Aichelbaum
Frederic Bonroy wrote:
Comment se fait-il que les forces armées envoyées en ex-Yougoslavie (de tête) avaient choppé un vieux virus ?
La sécurité à 100% n'existe pas, même avec un antivirus.
Oui on sait, mais le sujet ici est une signature qui avait disparu (peut être involontairement).
En tant que programmeur, je peux vous dire que détecter 100 ou 10 000 virus sur un disque, ça ne prend pas le même temps.
Je peux te dire que a) il existe des algorithmes de recherche de chaînes de caractères dont la durée d'exécution ne dépend pas du nombre de chaînes à rechercher. Demande à Google de rechercher pour toi "multiple pattern matching". Si tu veux des exemples: Aho-Corasick, Karp-Rabin (ce dernier de tête également).
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple plus il y a de signatures en mémoire, moins il y a de place pour les autres applications, ce qui peut générer des swaps...
b) à l'époque le programmeur de TbScan prétendait que le nombre de signatures n'avait pratiquement pas d'importance, affirmation qu'aucun autre programmeur AV n'a encore refutée jusqu'ici à ma connaissance.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Comment se fait-il que les forces armées envoyées en ex-Yougoslavie
(de tête) avaient choppé un vieux virus ?
La sécurité à 100% n'existe pas, même avec un antivirus.
Oui on sait, mais le sujet ici est une signature qui avait disparu
(peut être involontairement).
En tant que programmeur, je peux vous dire que détecter 100 ou 10 000
virus sur un disque, ça ne prend pas le même temps.
Je peux te dire que
a) il existe des algorithmes de recherche de chaînes de caractères dont
la durée d'exécution ne dépend pas du nombre de chaînes à rechercher.
Demande à Google de rechercher pour toi "multiple pattern matching". Si
tu veux des exemples: Aho-Corasick, Karp-Rabin (ce dernier de tête
également).
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple
plus il y a de signatures en mémoire, moins il y a de place pour les
autres applications, ce qui peut générer des swaps...
b) à l'époque le programmeur de TbScan prétendait que le nombre de
signatures n'avait pratiquement pas d'importance, affirmation qu'aucun
autre programmeur AV n'a encore refutée jusqu'ici à ma connaissance.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est
sensible ou non)
Comment se fait-il que les forces armées envoyées en ex-Yougoslavie (de tête) avaient choppé un vieux virus ?
La sécurité à 100% n'existe pas, même avec un antivirus.
Oui on sait, mais le sujet ici est une signature qui avait disparu (peut être involontairement).
En tant que programmeur, je peux vous dire que détecter 100 ou 10 000 virus sur un disque, ça ne prend pas le même temps.
Je peux te dire que a) il existe des algorithmes de recherche de chaînes de caractères dont la durée d'exécution ne dépend pas du nombre de chaînes à rechercher. Demande à Google de rechercher pour toi "multiple pattern matching". Si tu veux des exemples: Aho-Corasick, Karp-Rabin (ce dernier de tête également).
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple plus il y a de signatures en mémoire, moins il y a de place pour les autres applications, ce qui peut générer des swaps...
b) à l'époque le programmeur de TbScan prétendait que le nombre de signatures n'avait pratiquement pas d'importance, affirmation qu'aucun autre programmeur AV n'a encore refutée jusqu'ici à ma connaissance.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
-- Olivier Aichelbaum
Olivier Aichelbaum
Frederic Bonroy wrote:
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Je ne me drogue pas, déjà dit ;)
J'en faisais déjà dans les années 80.
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour les enfants, parce que les virus sont considérés comme disparus. Il n'est pas impossible qu'à un moment, certains éditeurs aient voulu expérimenter la même chose avec des antivirus informatiques."
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
On le sait. Ce n'est pas de cela que je parlais. Cf + haut.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Je ne me drogue pas, déjà dit ;)
J'en faisais déjà dans les années 80.
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour
les enfants, parce que les virus sont considérés comme disparus.
Il n'est pas impossible qu'à un moment, certains éditeurs aient
voulu expérimenter la même chose avec des antivirus informatiques."
McAfee a remplacé les signatures de virus très anciens par des
signatures génériques. Ça fait que tout en retirant des signatures on
détecte toujours tout ce qu'on détectait déjà avant.
On le sait. Ce n'est pas de cela que je parlais. Cf + haut.
Je ne parlais pas de n et n - 1, mais de "100 ou 10 000".
Le hash, ça te dit quelque chose? :-)
Je ne me drogue pas, déjà dit ;)
J'en faisais déjà dans les années 80.
Et j'écrivais aussi :
"Il y a des tas de vaccinations qu'on ne fait plus de nos jours pour les enfants, parce que les virus sont considérés comme disparus. Il n'est pas impossible qu'à un moment, certains éditeurs aient voulu expérimenter la même chose avec des antivirus informatiques."
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
On le sait. Ce n'est pas de cela que je parlais. Cf + haut.
-- Olivier Aichelbaum
Olivier Aichelbaum
Roland Garcia wrote:
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode: http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Tss, tss.
Alain avait bien un fichier avec un "vieux" virus indétecté alors qu'il aurait du l'être.
C'est pas la première fois que ça arrive à un antivirus, ni la dernière.
Malheureusement.
D'ailleurs, vous avez tout à l'heure donné l'exemple de NOD32...
-- Olivier Aichelbaum
Roland Garcia wrote:
McAfee a remplacé les signatures de virus très anciens par des
signatures génériques. Ça fait que tout en retirant des signatures on
détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode:
http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Tss, tss.
Alain avait bien un fichier avec un "vieux" virus indétecté
alors qu'il aurait du l'être.
C'est pas la première fois que ça arrive à un antivirus,
ni la dernière.
Malheureusement.
D'ailleurs, vous avez tout à l'heure donné l'exemple de NOD32...
McAfee a remplacé les signatures de virus très anciens par des signatures génériques. Ça fait que tout en retirant des signatures on détecte toujours tout ce qu'on détectait déjà avant.
"Un jour sans fin" 2380125ème épisode: http://www.google.fr/groups?selm;BC4452.FA9E9297%40worldnet.fr&oe=UTF-8&output=gplain
Tss, tss.
Alain avait bien un fichier avec un "vieux" virus indétecté alors qu'il aurait du l'être.
C'est pas la première fois que ça arrive à un antivirus, ni la dernière.
Malheureusement.
D'ailleurs, vous avez tout à l'heure donné l'exemple de NOD32...
-- Olivier Aichelbaum
Frederic Bonroy
Olivier Aichelbaum skreiv:
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple plus il y a de signatures en mémoire, moins il y a de place pour les autres applications, ce qui peut générer des swaps...
Mais là on en revient au problème classique de l'évolution des logiciels (antivirus) comparée à l'évolution du matériel. Et là je suis certain que le matériel devancera toujours les antivirus. Les programmeurs font déjà des efforts pour ralentir la progression de la taille des fichiers de définitions en remplaçant d'anciennes signatures par une seule générique, ou en employant des technologies qui permettent d'identifier une bête avec une seule signature (ou plutôt: un nombre fixe de signatures) quel que soit le packer (au lieu de faire une signature pour chaque packer). Apparemment tous ne vont pas dans cette direction, Symantec notamment, mais je suis sûr qu'eux aussi s'y mettront un jour.
Ce qui m'inquiète beaucoup plus sur ce côté là, c'est la manie de "gonfler" l'interface, d'ajouter des gadgets inutiles, etc. Ça c'est de la mémoire gaspillée.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça n'a pas d'importance.
Olivier Aichelbaum skreiv:
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple
plus il y a de signatures en mémoire, moins il y a de place pour les
autres applications, ce qui peut générer des swaps...
Mais là on en revient au problème classique de l'évolution des logiciels
(antivirus) comparée à l'évolution du matériel. Et là je suis certain
que le matériel devancera toujours les antivirus.
Les programmeurs font déjà des efforts pour ralentir la progression de
la taille des fichiers de définitions en remplaçant d'anciennes
signatures par une seule générique, ou en employant des technologies qui
permettent d'identifier une bête avec une seule signature (ou plutôt: un
nombre fixe de signatures) quel que soit le packer (au lieu de faire une
signature pour chaque packer). Apparemment tous ne vont pas dans cette
direction, Symantec notamment, mais je suis sûr qu'eux aussi s'y
mettront un jour.
Ce qui m'inquiète beaucoup plus sur ce côté là, c'est la manie de
"gonfler" l'interface, d'ajouter des gadgets inutiles, etc. Ça c'est de
la mémoire gaspillée.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est
sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on
peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça
n'a pas d'importance.
Tu oublies d'autres aspects sur la durée d'un scan, comme par exemple plus il y a de signatures en mémoire, moins il y a de place pour les autres applications, ce qui peut générer des swaps...
Mais là on en revient au problème classique de l'évolution des logiciels (antivirus) comparée à l'évolution du matériel. Et là je suis certain que le matériel devancera toujours les antivirus. Les programmeurs font déjà des efforts pour ralentir la progression de la taille des fichiers de définitions en remplaçant d'anciennes signatures par une seule générique, ou en employant des technologies qui permettent d'identifier une bête avec une seule signature (ou plutôt: un nombre fixe de signatures) quel que soit le packer (au lieu de faire une signature pour chaque packer). Apparemment tous ne vont pas dans cette direction, Symantec notamment, mais je suis sûr qu'eux aussi s'y mettront un jour.
Ce qui m'inquiète beaucoup plus sur ce côté là, c'est la manie de "gonfler" l'interface, d'ajouter des gadgets inutiles, etc. Ça c'est de la mémoire gaspillée.
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça n'a pas d'importance.
Olivier Aichelbaum
Frederic Bonroy wrote:
Mais là on en revient au problème classique de l'évolution des logiciels (antivirus) comparée à l'évolution du matériel. Et là je suis certain que le matériel devancera toujours les antivirus.
Tu diras ça a mon 486 ;)
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça n'a pas d'importance.
Je le sais, mais je répète : ce n'était pas mon propos.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Mais là on en revient au problème classique de l'évolution des logiciels
(antivirus) comparée à l'évolution du matériel. Et là je suis certain
que le matériel devancera toujours les antivirus.
Tu diras ça a mon 486 ;)
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est
sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on
peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça
n'a pas d'importance.
Je le sais, mais je répète : ce n'était pas mon propos.
Mais là on en revient au problème classique de l'évolution des logiciels (antivirus) comparée à l'évolution du matériel. Et là je suis certain que le matériel devancera toujours les antivirus.
Tu diras ça a mon 486 ;)
"Pratiquement aucune" ne veut pas dire "aucune".
(j'insite bien sur le fait que je n'aborde pas le fait ici si c'est sensible ou non)
Ce n'est pas sensible. La différence est minuscule à tel point qu'on peut affirmer la conscience tranquille qu'elle est nulle. En pratique ça n'a pas d'importance.
Je le sais, mais je répète : ce n'était pas mon propos.
-- Olivier Aichelbaum
Olivier Aichelbaum
AMcD wrote:
Ben si le nombre de virus dans la base influe forcèment sur le temps de scan... C'est ma-thé-ma-tique. Que ce soit sensible ou pas, c'est un autre débat.
T'es vraiment bouché toi ! C'est justement le débat.
Le tien, pas le mien. Tu noteras que je n'avais pas répondu à tes posts. Il y a de la place pour plusieurs débats et avis dans ce forum ? Ou il faut que j'achète ma carte de membre du parti (une licence KAV) ?
Lis les threads auxquels je fais allusion, va sur les liens qu'on donnaient, etc. Tu verras que le nombre ne change pas grand-chose, (...)
Fais les tests !
Je n'ai jamais prétendu le contraire, cf mon paragraphe en haut.
Alors à quoi tu joues ?
-- Olivier Aichelbaum
AMcD wrote:
Ben si le nombre de virus dans la base influe forcèment sur le temps
de scan... C'est ma-thé-ma-tique. Que ce soit sensible ou pas, c'est
un autre débat.
T'es vraiment bouché toi !
C'est justement le débat.
Le tien, pas le mien.
Tu noteras que je n'avais pas répondu à tes posts.
Il y a de la place pour plusieurs débats et avis dans ce forum ?
Ou il faut que j'achète ma carte de membre du parti (une licence KAV) ?
Lis les threads
auxquels je fais allusion, va sur les liens qu'on donnaient, etc. Tu verras
que le nombre ne change pas grand-chose,
(...)
Fais les tests !
Je n'ai jamais prétendu le contraire, cf mon paragraphe en haut.
Ben si le nombre de virus dans la base influe forcèment sur le temps de scan... C'est ma-thé-ma-tique. Que ce soit sensible ou pas, c'est un autre débat.
T'es vraiment bouché toi ! C'est justement le débat.
Le tien, pas le mien. Tu noteras que je n'avais pas répondu à tes posts. Il y a de la place pour plusieurs débats et avis dans ce forum ? Ou il faut que j'achète ma carte de membre du parti (une licence KAV) ?
Lis les threads auxquels je fais allusion, va sur les liens qu'on donnaient, etc. Tu verras que le nombre ne change pas grand-chose, (...)
Fais les tests !
Je n'ai jamais prétendu le contraire, cf mon paragraphe en haut.
Alors à quoi tu joues ?
-- Olivier Aichelbaum
Frederic Bonroy
Olivier Aichelbaum skreiv:
Tu diras ça a mon 486 ;)
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux mois pour être à la mode. Mais si tu utilises encore un 486 pour des tâches importantes, alors là... à part ça, heureusement qu'il existe encore les vieux antivirus DOS qui ne bouffent pas beaucoup de mémoire. Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre trop important de signatures.
Olivier Aichelbaum skreiv:
Tu diras ça a mon 486 ;)
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux
mois pour être à la mode. Mais si tu utilises encore un 486 pour des
tâches importantes, alors là... à part ça, heureusement qu'il existe
encore les vieux antivirus DOS qui ne bouffent pas beaucoup de mémoire.
Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre
trop important de signatures.
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux mois pour être à la mode. Mais si tu utilises encore un 486 pour des tâches importantes, alors là... à part ça, heureusement qu'il existe encore les vieux antivirus DOS qui ne bouffent pas beaucoup de mémoire. Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre trop important de signatures.
Olivier Aichelbaum
Frederic Bonroy wrote:
Tu diras ça a mon 486 ;)
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux mois pour être à la mode. Mais si tu utilises encore un 486 pour des tâches importantes, alors là...
Moi non, mais d'autres oui.
Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre trop important de signatures.
Que ce soit un P3 ou un 486 sous Windows 98, je ne vois pas la différence sur le nombre de signatures. Par contre, au moment du scan...
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Tu diras ça a mon 486 ;)
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux
mois pour être à la mode. Mais si tu utilises encore un 486 pour des
tâches importantes, alors là...
Moi non, mais d'autres oui.
Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre
trop important de signatures.
Que ce soit un P3 ou un 486 sous Windows 98, je ne vois pas la
différence sur le nombre de signatures. Par contre, au moment
du scan...
Je ne suis vraiment pas quelqu'un qui achète un ordinateur tous les deux mois pour être à la mode. Mais si tu utilises encore un 486 pour des tâches importantes, alors là...
Moi non, mais d'autres oui.
Je ne pense pas que les vieux 486 soient bientôt débordés par un nombre trop important de signatures.
Que ce soit un P3 ou un 486 sous Windows 98, je ne vois pas la différence sur le nombre de signatures. Par contre, au moment du scan...
