Bonjour tout le monde,
J'aimerais savoir quelque trucs pour programmer un antivirus.
C'est a dire comment sont stockes les signatures (cryptage, base
cryptee, ...)
Comment creer un moteur de balayage efficace?
en fait un descriptif technique de comment on fait un antivirus SVP
Derniere question comment gerer le fait du grossisement de la base des
signatures (je crois savoir que beaucoup de vieux virus sont effaces
des bases par les editerurs non?)
Que ce soit un P3 ou un 486 sous Windows 98 quoi ? vous utilisez ce système d'exploitation doté de LA faille ?
bonsoir oui j'ai pas de p5 ... un petit celeron à 500 mhz et :
sous w98 avec un 486 j'ai nav 4 ou je surf sur le dos avec le 386dx40 avec lynx .... et vive le ping pong de windows 1.0 @suivre
--
-- les seuls qui lisent les FAQs sont ceux qui savent déjà ce qu'il y a dedans. -+- AT in: Guide du Cabaliste Usenet - chapitre 4 -+-
djehuti
"Olivier Aichelbaum" a écrit dans le message news:
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé de me ranger aux côtés des pro-KAV, alors t'es bien placé pour donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien... seulement constaté que tu prenais systématiquement (et plus que de raison) leur défense sans apporter le moindre argument recevable
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
3FB1152B.6FEC0C21@acbm.com
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé
de me ranger aux côtés des pro-KAV, alors t'es bien placé pour
donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien... seulement constaté que tu prenais
systématiquement (et plus que de raison) leur défense sans apporter le
moindre argument recevable
"Olivier Aichelbaum" a écrit dans le message news:
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé de me ranger aux côtés des pro-KAV, alors t'es bien placé pour donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien... seulement constaté que tu prenais systématiquement (et plus que de raison) leur défense sans apporter le moindre argument recevable
@tchao
Olivier Aichelbaum
djehuti wrote:
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé de me ranger aux côtés des pro-KAV, alors t'es bien placé pour donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien...
Ah ah !
seulement constaté que tu prenais systématiquement (et plus que de raison) leur défense sans apporter le moindre argument recevable
Si j'intervenais plus que de raison, c'est que tout comme mes magazines et moi, cette société faisait l'objet de mensonges plus que de raison.
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence de ces propos était anormale.
-- Olivier Aichelbaum
djehuti wrote:
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé
de me ranger aux côtés des pro-KAV, alors t'es bien placé pour
donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien...
Ah ah !
seulement constaté que tu prenais
systématiquement (et plus que de raison) leur défense sans apporter le
moindre argument recevable
Si j'intervenais plus que de raison, c'est que tout comme mes magazines
et moi, cette société faisait l'objet de mensonges plus que de raison.
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence
de ces propos était anormale.
Tu m'as accusé d'être à la solde de Tegam parce que j'ai refusé de me ranger aux côtés des pro-KAV, alors t'es bien placé pour donner des leçons d'exagération...
intox !!!
je ne t'ai accusé de rien...
Ah ah !
seulement constaté que tu prenais systématiquement (et plus que de raison) leur défense sans apporter le moindre argument recevable
Si j'intervenais plus que de raison, c'est que tout comme mes magazines et moi, cette société faisait l'objet de mensonges plus que de raison.
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence de ces propos était anormale.
-- Olivier Aichelbaum
Roland Garcia
Si j'intervenais plus que de raison
L'essentiel est de le reconnaître.
cette société faisait l'objet de mensonges plus que de raison.
Ce n'est marqué nulle part.
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence de ces propos était anormale.
Que voulez vous qu'on y fasse, fallait pas "intervenir plus que de raison".
Roland Garcia
Si j'intervenais plus que de raison
L'essentiel est de le reconnaître.
cette société faisait l'objet de mensonges plus que de raison.
Ce n'est marqué nulle part.
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence
de ces propos était anormale.
Que voulez vous qu'on y fasse, fallait pas "intervenir plus que de
raison".
N'oubliez pas le contexte que j'ai donné dans le post précédent, contexte que vous avez coupé.
cette société faisait l'objet de mensonges plus que de raison.
Ce n'est marqué nulle part.
Montrez-moi l'étude prospective sur Goodluck et la soit disante partie publicitaire que vous y avez annoncée...
Le juge des référés a d'ailleurs lui aussi constaté que la fréquence de ces propos était anormale.
Que voulez vous qu'on y fasse, fallait pas "intervenir plus que de raison".
Vous avez coupé le bout où j'explique que je démentais vos mensonges plus que de raison contre mes magazines et moi...
-- Olivier Aichelbaum
cyril_vieville
Tweakie wrote in message news:...
On Tue, 11 Nov 2003, Cyril Vi?ville wrote:
Bonjour tout le monde, J'aimerais savoir quelque trucs pour programmer un antivirus. C'est a dire comment sont stockes les signatures (cryptage, base cryptee, ...) Comment creer un moteur de balayage efficace? en fait un descriptif technique de comment on fait un antivirus SVP
Que veux-tu programmer exactement ? Un scanner de signatures ? Tu comptes y integrer la detection de virus polymorphiques et un moteur de detection heuristique ou pas ?
Il me semble qu'un bon point de depart est l'antivirus ClamAV ( http://clamav.elektrapro.com/ ), ils utilisent l'algo Aho/Corasick (par ailleurs evoque' par F. Bonroy sur ce forum) pour le pattern matching. Ils referencent : http://www-sr.informatik.uni-tuebingen.de/~buehler/AC/AC.html
Ensuite, a toi de te debrouiller pour que ton implementation soit la plus rapide possible. IMHO le facteur limitant se situe du cote' des acces disques.
Pour les virus polymorphes, il faudra sans doute te coltiner un emulateur. C'est sans doute la partie la plus difficile du shmilblick. Un point de depart pour se familiariser avec certains concepts necessaires pour maitriser ce genre de techniques (manipulation de la memoire), tout en se resteignant a un petit nombre d'instructions, pourrait-etre l'ecriture d'un interpreteur de redcode (cf. corewars, http://www.koth.org). Il faudra aussi gerer l'etape qui vient "avant" (desassemblage). Bref, c'est vraaaaiment complexe...
Pour la detection heuristique, je crois que tu n'echappera de toute facon pas a l'etape "desassemblage". Et tu devras peut-etre definir une grammaire formelle permettant de detecter les actions pouvant etre caracteristiques d'un virus ((de)cryptage, reproduction, etc.). Pas simple non plus.
Derniere question comment gerer le fait du grossisement de la base des signatures (je crois savoir que beaucoup de vieux virus sont effaces des bases par les editerurs non?)
Plutot remplaces par des signatures generiques, detectant sous un identifiant unique toute une famille de virus. Mais tu peux sans doute demander a ton prof : d'apres la page de garde du site web de sa boite, il semblerait qu'ils soient bien informes sur ce sujet ;-p
Oui en effet je suis étudiant et malheureusement ce n'était pas mon projet initial, je me retrouve donc sur un projet dont je n'ai aucune idée technique.
MERCI POUR TOUTES VOS REPONSES mais comment connaissez vous mon professeur?
Sinon je ne comprends pas comment il est possible de remplacer des signatures par une signature générique étant donné que le fondement du mot signature est à caractère unique? Un antivirus classique est il capable de reconnaitre par exemple une variante d'un virus sans avoir au préalable la signature car vous me parlez de virus polymorphes mais beaucoup de gens semblent s'amuser à modifier légèrement un code malveillant?
Je me rends compte que le boulot est conséquent et tout dépend de ce que le professeur va exiger car si il faut prendre en compte des virus polymorphes, une heuristique rapide et un nombre minimum de faux positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Dernière chose, pourquoi un antivirus donne la possibilité de scanner des fichiers TXT par exemple (dans lequel j'inclus du code malicieux) et me détecte un virus? C'est un peu stupide et sans intérêt à moins bien sur qu'il soit possible pour un executable d'intégrer à la volée du code récupéré dans un fichier indépendant (car comme on dit tout est possible)
Tweakie <NO_eikaewt_SPAM@hotmail.com> wrote in message news:<20031111134756.H12164@areba.vasb>...
On Tue, 11 Nov 2003, Cyril Vi?ville wrote:
Bonjour tout le monde,
J'aimerais savoir quelque trucs pour programmer un antivirus.
C'est a dire comment sont stockes les signatures (cryptage, base
cryptee, ...)
Comment creer un moteur de balayage efficace?
en fait un descriptif technique de comment on fait un antivirus SVP
Que veux-tu programmer exactement ? Un scanner de signatures ? Tu
comptes y integrer la detection de virus polymorphiques et un
moteur de detection heuristique ou pas ?
Il me semble qu'un bon point de depart est l'antivirus ClamAV
( http://clamav.elektrapro.com/ ), ils utilisent l'algo
Aho/Corasick (par ailleurs evoque' par F. Bonroy sur ce forum)
pour le pattern matching. Ils referencent :
http://www-sr.informatik.uni-tuebingen.de/~buehler/AC/AC.html
Ensuite, a toi de te debrouiller pour que ton implementation
soit la plus rapide possible. IMHO le facteur limitant se situe
du cote' des acces disques.
Pour les virus polymorphes, il faudra sans doute te coltiner un
emulateur. C'est sans doute la partie la plus difficile du
shmilblick. Un point de depart pour se familiariser avec certains
concepts necessaires pour maitriser ce genre de techniques
(manipulation de la memoire), tout en se resteignant a un petit
nombre d'instructions, pourrait-etre l'ecriture d'un interpreteur
de redcode (cf. corewars, http://www.koth.org). Il faudra aussi
gerer l'etape qui vient "avant" (desassemblage). Bref, c'est
vraaaaiment complexe...
Pour la detection heuristique, je crois que tu n'echappera de toute
facon pas a l'etape "desassemblage". Et tu devras peut-etre definir
une grammaire formelle permettant de detecter les actions pouvant
etre caracteristiques d'un virus ((de)cryptage, reproduction, etc.).
Pas simple non plus.
Derniere question comment gerer le fait du grossisement de la base des
signatures (je crois savoir que beaucoup de vieux virus sont effaces
des bases par les editerurs non?)
Plutot remplaces par des signatures generiques, detectant sous un
identifiant unique toute une famille de virus. Mais tu peux sans
doute demander a ton prof : d'apres la page de garde du site web de
sa boite, il semblerait qu'ils soient bien informes sur ce sujet ;-p
Oui en effet je suis étudiant et malheureusement ce n'était pas mon
projet initial, je me retrouve donc sur un projet dont je n'ai aucune
idée technique.
MERCI POUR TOUTES VOS REPONSES mais comment connaissez vous mon
professeur?
Sinon je ne comprends pas comment il est possible de remplacer des
signatures par une signature générique étant donné que le fondement du
mot signature est à caractère unique?
Un antivirus classique est il capable de reconnaitre par exemple une
variante d'un virus sans avoir au préalable la signature car vous me
parlez de virus polymorphes mais beaucoup de gens semblent s'amuser à
modifier légèrement un code malveillant?
Je me rends compte que le boulot est conséquent et tout dépend de ce
que le professeur va exiger car si il faut prendre en compte des virus
polymorphes, une heuristique rapide et un nombre minimum de faux
positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Dernière chose, pourquoi un antivirus donne la possibilité de scanner
des fichiers TXT par exemple (dans lequel j'inclus du code malicieux)
et me détecte un virus? C'est un peu stupide et sans intérêt à moins
bien sur qu'il soit possible pour un executable d'intégrer à la volée
du code récupéré dans un fichier indépendant (car comme on dit tout
est possible)
Bonjour tout le monde, J'aimerais savoir quelque trucs pour programmer un antivirus. C'est a dire comment sont stockes les signatures (cryptage, base cryptee, ...) Comment creer un moteur de balayage efficace? en fait un descriptif technique de comment on fait un antivirus SVP
Que veux-tu programmer exactement ? Un scanner de signatures ? Tu comptes y integrer la detection de virus polymorphiques et un moteur de detection heuristique ou pas ?
Il me semble qu'un bon point de depart est l'antivirus ClamAV ( http://clamav.elektrapro.com/ ), ils utilisent l'algo Aho/Corasick (par ailleurs evoque' par F. Bonroy sur ce forum) pour le pattern matching. Ils referencent : http://www-sr.informatik.uni-tuebingen.de/~buehler/AC/AC.html
Ensuite, a toi de te debrouiller pour que ton implementation soit la plus rapide possible. IMHO le facteur limitant se situe du cote' des acces disques.
Pour les virus polymorphes, il faudra sans doute te coltiner un emulateur. C'est sans doute la partie la plus difficile du shmilblick. Un point de depart pour se familiariser avec certains concepts necessaires pour maitriser ce genre de techniques (manipulation de la memoire), tout en se resteignant a un petit nombre d'instructions, pourrait-etre l'ecriture d'un interpreteur de redcode (cf. corewars, http://www.koth.org). Il faudra aussi gerer l'etape qui vient "avant" (desassemblage). Bref, c'est vraaaaiment complexe...
Pour la detection heuristique, je crois que tu n'echappera de toute facon pas a l'etape "desassemblage". Et tu devras peut-etre definir une grammaire formelle permettant de detecter les actions pouvant etre caracteristiques d'un virus ((de)cryptage, reproduction, etc.). Pas simple non plus.
Derniere question comment gerer le fait du grossisement de la base des signatures (je crois savoir que beaucoup de vieux virus sont effaces des bases par les editerurs non?)
Plutot remplaces par des signatures generiques, detectant sous un identifiant unique toute une famille de virus. Mais tu peux sans doute demander a ton prof : d'apres la page de garde du site web de sa boite, il semblerait qu'ils soient bien informes sur ce sujet ;-p
Oui en effet je suis étudiant et malheureusement ce n'était pas mon projet initial, je me retrouve donc sur un projet dont je n'ai aucune idée technique.
MERCI POUR TOUTES VOS REPONSES mais comment connaissez vous mon professeur?
Sinon je ne comprends pas comment il est possible de remplacer des signatures par une signature générique étant donné que le fondement du mot signature est à caractère unique? Un antivirus classique est il capable de reconnaitre par exemple une variante d'un virus sans avoir au préalable la signature car vous me parlez de virus polymorphes mais beaucoup de gens semblent s'amuser à modifier légèrement un code malveillant?
Je me rends compte que le boulot est conséquent et tout dépend de ce que le professeur va exiger car si il faut prendre en compte des virus polymorphes, une heuristique rapide et un nombre minimum de faux positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Dernière chose, pourquoi un antivirus donne la possibilité de scanner des fichiers TXT par exemple (dans lequel j'inclus du code malicieux) et me détecte un virus? C'est un peu stupide et sans intérêt à moins bien sur qu'il soit possible pour un executable d'intégrer à la volée du code récupéré dans un fichier indépendant (car comme on dit tout est possible)
Roland Garcia
Sinon je ne comprends pas comment il est possible de remplacer des signatures par une signature générique étant donné que le fondement du mot signature est à caractère unique? Un antivirus classique est il capable de reconnaitre par exemple une variante d'un virus sans avoir au préalable la signature ....
D'un point de vue algorithmique il n'y a aucune différence entre un anti-virus classique et pas classique.
Je me rends compte que le boulot est conséquent et tout dépend de ce que le professeur va exiger car si il faut prendre en compte des virus polymorphes, une heuristique rapide et un nombre minimum de faux positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Rien que pour les signatures, au rythme de 10 analyses de virus par jour vous en avez pour 19 ans.....
Dernière chose, pourquoi un antivirus donne la possibilité de scanner des fichiers TXT par exemple (dans lequel j'inclus du code malicieux) et me détecte un virus?
Parce qu'un fichier .txt contenant un virus macro lu par Word infectera aussi bien qu'un .doc
Roland Garcia
Sinon je ne comprends pas comment il est possible de remplacer des
signatures par une signature générique étant donné que le fondement du
mot signature est à caractère unique?
Un antivirus classique est il capable de reconnaitre par exemple une
variante d'un virus sans avoir au préalable la signature ....
D'un point de vue algorithmique il n'y a aucune différence entre un
anti-virus classique et pas classique.
Je me rends compte que le boulot est conséquent et tout dépend de ce
que le professeur va exiger car si il faut prendre en compte des virus
polymorphes, une heuristique rapide et un nombre minimum de faux
positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Rien que pour les signatures, au rythme de 10 analyses de virus par jour
vous en avez pour 19 ans.....
Dernière chose, pourquoi un antivirus donne la possibilité de scanner
des fichiers TXT par exemple (dans lequel j'inclus du code malicieux)
et me détecte un virus?
Parce qu'un fichier .txt contenant un virus macro lu par Word infectera
aussi bien qu'un .doc
Sinon je ne comprends pas comment il est possible de remplacer des signatures par une signature générique étant donné que le fondement du mot signature est à caractère unique? Un antivirus classique est il capable de reconnaitre par exemple une variante d'un virus sans avoir au préalable la signature ....
D'un point de vue algorithmique il n'y a aucune différence entre un anti-virus classique et pas classique.
Je me rends compte que le boulot est conséquent et tout dépend de ce que le professeur va exiger car si il faut prendre en compte des virus polymorphes, une heuristique rapide et un nombre minimum de faux positifs (et négatifs bien sur), j'ai du pain sur la planche!!!
Rien que pour les signatures, au rythme de 10 analyses de virus par jour vous en avez pour 19 ans.....
Dernière chose, pourquoi un antivirus donne la possibilité de scanner des fichiers TXT par exemple (dans lequel j'inclus du code malicieux) et me détecte un virus?
Parce qu'un fichier .txt contenant un virus macro lu par Word infectera aussi bien qu'un .doc
