question bete sur le fonctionnement d'un antivirus

ben wrote:

Bonjour,

Je crois savoir que pas mal d'antivirus fonctionne en détectant les
signatures des virus lors du scan des fichiers. Sachant qu'en 10 ans, le
nombre de virus a été multiplié par X¾aucoup, et que la taille de nos
disque a été multiplié par Y¾aucoup, le fait qu'un scan ait encore
aujourd'hui une durée raisonnable est-il du au fait que les moteurs de
recherche des signatures a été énormément amélioré dans tous les antivirus,
ou c'est seulement grace à la montée en puissance de nos bécanes???

Bonjour,

Les editeurs d'anti-virus ne communiquent pas beaucoup sur le
fonctionnement de leurs produits, mais il est probable qu'il y ait un peu
des deux :
- Les algorithmes utilises sont tels que la vitesse de la recherche depend
peu du nombre de signatures. On en avait discute' ici meme :
http://groups.google.com/groups?selmº8rmh%24qidk4%241%40ID-75150.news.dfncis.de
Voir aussi pour une description de l'algorithme utilise' par l'antivirus
Open source ClamAV :
http://www.fsl.cs.sunysb.edu/docs/avfs-security04/avfs.pdf

- Il est aussi probable que les antivirus commerciaux ajoutent certaines
subtilites et qu'ils determinent avant le scan proprement dit quelles
portion du fichier (en-tete, zone a proximite' du point d'entree, section
de relocation, etc.)pourraient etre affectees par tel ou tel virus et ne
verifient, pour chacune de ces cibles potentielles, que les signatures
corresondantes.

- J'imagine qu'ils doivent aussi optimiser les acces disque.

- Pour finir, je suis recemment tombe' sur un brevet de Symantec qui
evoque l'utilisation couplee d'un controleur d'integrite et d'un scanner,
les fichiers n'etant scannes que si les zones "sensibles" de celui-ci
n'ont pas ete' precedement scannees par une version a jour du scanner
(l'originalite' etant justement que le hash de chaque "zone sensible" est
stocke' separement et que le scanner est declare' "a jour" pour une de ces
cibles tant qu'aucun malware affectant celle-ci n'a ete ajoute' a la
base). Le brevet en question :

http://minilien.com/?xzNUgcNP8P
(pointe vers :
http://ofi.epoline.org/view/GetPdfPage?dosnum=&pubnum=EP1408393&NPL=N&objectId=EGVQMFUQDHPHJ09&firstPage=1&lastPage&lang=EN&step=2
)

--
Tweakie

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

ben avait écrit le 08.05.2004 :

Bonjour,

Je crois savoir que pas mal d'antivirus fonctionne en détectant les
signatures des virus lors du scan des fichiers. Sachant qu'en 10 ans, le
nombre de virus a été multiplié par X¾aucoup, et que la taille de nos
disque a été multiplié par Y¾aucoup, le fait qu'un scan ait encore
aujourd'hui une durée raisonnable est-il du au fait que les moteurs de
recherche des signatures a été énormément amélioré dans tous les antivirus,
ou c'est seulement grace à la montée en puissance de nos bécanes???

Merci

C'est aussi exacte que la puissance des machines a été décuplées !

Les antivirus rallentissent énormément les machines. Essaye de
désinstaller le tien, et tu verras parr toi-même.

-> Mais voilà, on ne peux plus s'en passer ;>))

OL

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

ben wrote:

Je crois savoir que pas mal d'antivirus fonctionne en détectant les
signatures des virus lors du scan des fichiers. Sachant qu'en 10 ans, le
nombre de virus a été multiplié par X¾aucoup, et que la taille de nos
disque a été multiplié par Y¾aucoup, le fait qu'un scan ait encore
aujourd'hui une durée raisonnable est-il du au fait que les moteurs de
recherche des signatures a été énormément amélioré dans tous les antivirus,
ou c'est seulement grace à la montée en puissance de nos bécanes???

Les deux. La vitesse de recherche ne dépend pratiquement pas du nombre
de signatures.

Merci pour les liens!

Le Sat, 08 May 2004 14:01:57 +0200, OL a écrit :

Les antivirus rallentissent énormément les machines. Essaye de
désinstaller le tien, et tu verras parr toi-même.

Si si, en se passant de windows ;-)

--
"Viruses Don't Harm, Ignorance Do!"

OL wrote:

Les antivirus rallentissent énormément les machines.

Ça dépend lesquels et comment ils sont utilisés.

ben fo ajouter surtout le fait que les virus ne s'installent pas n'importe
où...
un scan systématique heuristique prendrait beaucoup de temps.
ce sont surtout les parties exécutables qui sont scannées... et même pour
faire sérieux, les fausses alertes sont plutôt évitées...
généralement, la plupart des virus s'installent en début ou en fin de
tâches/fichiers/boots...
et laissent des traces bien visibles de leurs activités dans les registres
et les fichiers de démarrage.
par exemple :
run=c:/xckj.exe
dans win.ini est bien typique

F-Secure 5 (securitoo)ne ralentit presque pas par rapport à la version 4.
Qu'en pensez-vous?

"Eric CHAPUZOT" <echap@evhr.net> a écrit dans le message de news:
409d3dc2$0$24307$4d4eb98e@read.news.fr.uu.net...

ben fo ajouter surtout le fait que les virus ne s'installent pas n'importe
où...
un scan systématique heuristique prendrait beaucoup de temps.
ce sont surtout les parties exécutables qui sont scannées... et même pour
faire sérieux, les fausses alertes sont plutôt évitées...
généralement, la plupart des virus s'installent en début ou en fin de
tâches/fichiers/boots...
et laissent des traces bien visibles de leurs activités dans les registres
et les fichiers de démarrage.
par exemple :
run=c:/xckj.exe
dans win.ini est bien typique

salut
"Jack Finick" <jfki1948@club-internet.fr> a écrit dans le message news:
409fe357$0$317$7a628cd7@news.club-internet.fr

F-Secure 5 [...]

BI = 2

merci de répondre dans le bon sens
http://www.giromini.org/usenet-fr/repondre.html

@tchao