- "L'objectif n'est pas de former des developpeurs de virus mais des
experts maîtrisant leurs fonctionnements principalement pour assurer
la sécurité des leur clients."
Il n'est donc pas question d'écrire des antivirus. Et on a déjà dit
qu'il n'y a pas besoin de savoir écrire des virus pour s'en protéger.
Connerie.
- "[...] puisqu'il démontre bien que les anti virus actuels(1995 -->
2003: pas d'évolution) ne valent rien."
Je ne sais pas si c'est un prof ou un étudiant qui a écrit ça, mais ça
n'en est pas moins une double connerie.
Ça dit: "[...] resulting in the creation of the next generation of
anti-virus and computer security products."
Nulle part ça ne dit "faut avoir écrit des virus".
Je suis sûr que Sophos serait heureux d'apprendre que ses produits
"ne valent rien" et qu'ils vendent toujours la même camelote
qu'en 95. :-)
On attend aussi qu'Olivier nous donne son opinion sur la description
du cours de l'université de Calgary ainsi que la réponse de Frisk;
je redonne les liens ici:
http://www.cpsc.ucalgary.ca/News/virus_course.html
http://www.f-prot.com/news/gen_news/open_letter.html
Le Sun, 20 Jul 2003 14:51:34 +0200, Arnold McDonald (AMcD) a écrit :
C'est parler à la OA ça ;o). C'est quoi un virus ciblé ? Un nom ? Si tu me réponds secret défense... Et j'aimerai bien voir quelle technique non reprise par les autres ils utilisent...
Un virus ciblé c'est par exemple un virus écris spécifiquement pour réussir un test d'intrusion ;). La meme chose peut bien sur être faite pour des besoins un peu moins légaux. Le but de ce type de virus est généralement la récupération d'information, la désactivation de certains moyens de protections, etc...
Oui, mais en 1995 cela n'existait pas ;o). C'est juste ce que je tenais à signaler.
Bien sur que cela existait :) Ex : sur les modèles PS/2 Model 30-286, on fait des maj de bios depuis 1990...
Désolé, mais cela sonne un peu creux pour moi. Je crains que tu ne confondes polymorphisme et métamorphisme. Qu'appeles tu module flibiustier ?
un module flibustier est conçu pour spéficiquement s'attaquer à un antivirus. Le désactivé, l'effacer, le remplacer par un faux ou en faire lui meme le vecteur de propagation du virus...
ne parle pas de plusieurs techniques combinées, si on cause de polymorphisme, je en cause QUE du polymorphisme, sinon, le débat va être dur à suivre ;o)
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de se présenter sous diverses formes sans changer de nature (cela reste un virus...). Quand au caractère polymorphe d'un virus, cela signifie simplement qu'il peut prendre plusieurs formes (définition dictionnaire hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un morceau est dans un fichier, un autre dans un autre, et encore un autre quelque part sur le réseau...(je simplifie là...)
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué (pas de port ouvert, pas de communication directe d'un processus étrangé avec internet, etc...)
Le Sun, 20 Jul 2003 14:51:34 +0200, Arnold McDonald (AMcD) a écrit :
C'est parler à la OA ça ;o). C'est quoi un virus ciblé ? Un nom ? Si tu me
réponds secret défense... Et j'aimerai bien voir quelle technique non
reprise par les autres ils utilisent...
Un virus ciblé c'est par exemple un virus écris spécifiquement pour
réussir un test d'intrusion ;). La meme chose peut bien sur être faite
pour des besoins un peu moins légaux. Le but de ce type de virus est
généralement la récupération d'information, la désactivation de certains
moyens de protections, etc...
Oui, mais en 1995 cela n'existait pas ;o). C'est juste ce que je tenais à
signaler.
Bien sur que cela existait :) Ex : sur les modèles PS/2 Model 30-286, on
fait des maj de bios depuis 1990...
Désolé, mais cela sonne un peu creux pour moi. Je crains que tu ne confondes
polymorphisme et métamorphisme. Qu'appeles tu module flibiustier ?
un module flibustier est conçu pour spéficiquement s'attaquer à un
antivirus. Le désactivé, l'effacer, le remplacer par un faux ou en faire
lui meme le vecteur de propagation du virus...
ne parle pas de plusieurs techniques combinées, si on cause de
polymorphisme, je en cause QUE du polymorphisme, sinon, le débat va être dur
à suivre ;o)
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de
se présenter sous diverses formes sans changer de nature (cela reste un
virus...). Quand au caractère polymorphe d'un virus, cela signifie
simplement qu'il peut prendre plusieurs formes (définition dictionnaire
hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à
dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un
morceau est dans un fichier, un autre dans un autre, et encore un autre
quelque part sur le réseau...(je simplifie là...)
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué
(pas de port ouvert, pas de communication directe d'un processus étrangé
avec internet, etc...)
Le Sun, 20 Jul 2003 14:51:34 +0200, Arnold McDonald (AMcD) a écrit :
C'est parler à la OA ça ;o). C'est quoi un virus ciblé ? Un nom ? Si tu me réponds secret défense... Et j'aimerai bien voir quelle technique non reprise par les autres ils utilisent...
Un virus ciblé c'est par exemple un virus écris spécifiquement pour réussir un test d'intrusion ;). La meme chose peut bien sur être faite pour des besoins un peu moins légaux. Le but de ce type de virus est généralement la récupération d'information, la désactivation de certains moyens de protections, etc...
Oui, mais en 1995 cela n'existait pas ;o). C'est juste ce que je tenais à signaler.
Bien sur que cela existait :) Ex : sur les modèles PS/2 Model 30-286, on fait des maj de bios depuis 1990...
Désolé, mais cela sonne un peu creux pour moi. Je crains que tu ne confondes polymorphisme et métamorphisme. Qu'appeles tu module flibiustier ?
un module flibustier est conçu pour spéficiquement s'attaquer à un antivirus. Le désactivé, l'effacer, le remplacer par un faux ou en faire lui meme le vecteur de propagation du virus...
ne parle pas de plusieurs techniques combinées, si on cause de polymorphisme, je en cause QUE du polymorphisme, sinon, le débat va être dur à suivre ;o)
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de se présenter sous diverses formes sans changer de nature (cela reste un virus...). Quand au caractère polymorphe d'un virus, cela signifie simplement qu'il peut prendre plusieurs formes (définition dictionnaire hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un morceau est dans un fichier, un autre dans un autre, et encore un autre quelque part sur le réseau...(je simplifie là...)
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué (pas de port ouvert, pas de communication directe d'un processus étrangé avec internet, etc...)
Le Sun, 20 Jul 2003 15:24:09 +0200, Frederic Bonroy a écrit :
Vous avez des exemples?
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais. Tout dépend quelle est la finalité du virus en question.
Cela dépend qui est la personne qui écrit le code...
Pourquoi? Le problème avec les virus polymorphes c'est plutôt le temps requis par l'émulation que le principe de détection:
100% de détection cela n'existe pas... tout comme une application ou du matériel exempt de tout bug.
http://craiu.pcnet.ro/papers/papers/zhengxi.html "Today, the code emulator has also a perfect 100% detection rate if we set it to execute enough instructions - [...]"
Le problème dépend toujours de la finalité du virus. S'il est concu dans un but précis, il ne sera pas aussi facilement détecté que pour un virus concu pour infecter le plus grand nombre de machines possibles...
Le Sun, 20 Jul 2003 15:24:09 +0200, Frederic Bonroy a écrit :
Vous avez des exemples?
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première
diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de
taille.100.000 ordinateurs peuvent très bien en ce moment meme etre
infecté par un virus qui ne sera découvert que plus tard... ou jamais.
Tout dépend quelle est la finalité du virus en question.
Cela dépend qui est la personne qui écrit le code...
Pourquoi? Le problème avec les virus polymorphes c'est plutôt
le temps requis par l'émulation que le principe de détection:
100% de détection cela n'existe pas... tout comme une application ou du
matériel exempt de tout bug.
http://craiu.pcnet.ro/papers/papers/zhengxi.html
"Today, the code emulator has also a perfect 100% detection rate if we
set it to execute enough instructions - [...]"
Le problème dépend toujours de la finalité du virus. S'il est concu dans
un but précis, il ne sera pas aussi facilement détecté que pour un virus
concu pour infecter le plus grand nombre de machines possibles...
Le Sun, 20 Jul 2003 15:24:09 +0200, Frederic Bonroy a écrit :
Vous avez des exemples?
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais. Tout dépend quelle est la finalité du virus en question.
Cela dépend qui est la personne qui écrit le code...
Pourquoi? Le problème avec les virus polymorphes c'est plutôt le temps requis par l'émulation que le principe de détection:
100% de détection cela n'existe pas... tout comme une application ou du matériel exempt de tout bug.
http://craiu.pcnet.ro/papers/papers/zhengxi.html "Today, the code emulator has also a perfect 100% detection rate if we set it to execute enough instructions - [...]"
Le problème dépend toujours de la finalité du virus. S'il est concu dans un but précis, il ne sera pas aussi facilement détecté que pour un virus concu pour infecter le plus grand nombre de machines possibles...
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais.
On peut également dire que la terre est envahie par 100.000 extra-terrestres, mais on n'a toujours pas trouvé le premier :-)
Roland Garcia
Vous avez des exemples?
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première
diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de
taille.100.000 ordinateurs peuvent très bien en ce moment meme etre
infecté par un virus qui ne sera découvert que plus tard... ou jamais.
On peut également dire que la terre est envahie par 100.000
extra-terrestres, mais on n'a toujours pas trouvé le premier :-)
Des exemples de quoi ? de code viral ? précisez votre question.
De toute façon ça ne change rien car c'est la date de la première diffusion d'un virus métamorphique qui compte.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais.
On peut également dire que la terre est envahie par 100.000 extra-terrestres, mais on n'a toujours pas trouvé le premier :-)
Roland Garcia
Frederic Bonroy
Brain 0verride wrote:
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais.
Oui, mais en général on peut partir du principe qu'un virus diffusé largement sera entre les mains d'un éditeur pas tard. Alors on remplace par détection si on veut, en fait ça me convient encore mieux car ça repousse encore la date d'entrée en action des virus métamorphiques. :-)
100% de détection cela n'existe pas...
Ça n'existe pas quand on regarde globalement tous les virus existants. Mais 100% est faisable pour beaucoup de virus individuels.
tout comme une application ou du matériel exempt de tout bug.
Hélas. :-(
Brain 0verride wrote:
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
de détection tu veux dire... pas de diffusion et la différence est de
taille.100.000 ordinateurs peuvent très bien en ce moment meme etre
infecté par un virus qui ne sera découvert que plus tard... ou jamais.
Oui, mais en général on peut partir du principe qu'un virus diffusé
largement sera entre les mains d'un éditeur pas tard. Alors on remplace
par détection si on veut, en fait ça me convient encore mieux car ça
repousse encore la date d'entrée en action des virus métamorphiques. :-)
100% de détection cela n'existe pas...
Ça n'existe pas quand on regarde globalement tous les virus existants.
Mais 100% est faisable pour beaucoup de virus individuels.
tout comme une application ou du matériel exempt de tout bug.
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
de détection tu veux dire... pas de diffusion et la différence est de taille.100.000 ordinateurs peuvent très bien en ce moment meme etre infecté par un virus qui ne sera découvert que plus tard... ou jamais.
Oui, mais en général on peut partir du principe qu'un virus diffusé largement sera entre les mains d'un éditeur pas tard. Alors on remplace par détection si on veut, en fait ça me convient encore mieux car ça repousse encore la date d'entrée en action des virus métamorphiques. :-)
100% de détection cela n'existe pas...
Ça n'existe pas quand on regarde globalement tous les virus existants. Mais 100% est faisable pour beaucoup de virus individuels.
tout comme une application ou du matériel exempt de tout bug.
Hélas. :-(
Frederic Bonroy
Brain 0verride wrote:
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de se présenter sous diverses formes sans changer de nature (cela reste un virus...). Quand au caractère polymorphe d'un virus, cela signifie simplement qu'il peut prendre plusieurs formes (définition dictionnaire hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un morceau est dans un fichier, un autre dans un autre, et encore un autre quelque part sur le réseau...(je simplifie là...)
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
Un virus polymorphe est un virus crypté dont la routine de décryptage est variable. Le corps du virus ne change pas, juste la manière dont il est crypté. Chez un virus métamorphique, c'est le corps qui change (un chercheur AV avait qualifié le métamorphisme de "body polymorphics").
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué (pas de port ouvert, pas de communication directe d'un processus étrangé avec internet, etc...)
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Brain 0verride wrote:
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de
se présenter sous diverses formes sans changer de nature (cela reste un
virus...). Quand au caractère polymorphe d'un virus, cela signifie
simplement qu'il peut prendre plusieurs formes (définition dictionnaire
hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à
dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un
morceau est dans un fichier, un autre dans un autre, et encore un autre
quelque part sur le réseau...(je simplifie là...)
Je crains qu'il n'y ait une certaine confusion quant au concept de
polymorphisme...
Un virus polymorphe est un virus crypté dont la routine de décryptage
est variable. Le corps du virus ne change pas, juste la manière dont
il est crypté.
Chez un virus métamorphique, c'est le corps qui change (un chercheur
AV avait qualifié le métamorphisme de "body polymorphics").
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué
(pas de port ouvert, pas de communication directe d'un processus étrangé
avec internet, etc...)
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Pour moi polymorphisme c'est la caractérisque d'un virus qui lui permet de se présenter sous diverses formes sans changer de nature (cela reste un virus...). Quand au caractère polymorphe d'un virus, cela signifie simplement qu'il peut prendre plusieurs formes (définition dictionnaire hachette...)
Un polymorphisme efficace demande que le virus soit distribué, c'est à dire qu'il n'y a aucune entité qui contient à elle seule le code viral. Un morceau est dans un fichier, un autre dans un autre, et encore un autre quelque part sur le réseau...(je simplifie là...)
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
Un virus polymorphe est un virus crypté dont la routine de décryptage est variable. Le corps du virus ne change pas, juste la manière dont il est crypté. Chez un virus métamorphique, c'est le corps qui change (un chercheur AV avait qualifié le métamorphisme de "body polymorphics").
Tout comme les antivirus ne sont pas capables de détecter un trojan évolué (pas de port ouvert, pas de communication directe d'un processus étrangé avec internet, etc...)
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Brain 0verride
Le Sun, 20 Jul 2003 16:38:07 +0200, Frederic Bonroy a écrit :
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
Mauvaise interprétation tout comme hacker/cracker. Pour moi le polymorphisme est le meme que pour un virus biologique, voir définition du dictionnaire... Après chaque "chercheur" a mis sa patte dans les mots...
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Oui il est évident qu'on parle de trojans développés à la volée non pas dans le but d'etre diffusés, comme bo ou autre.
Le Sun, 20 Jul 2003 16:38:07 +0200, Frederic Bonroy a écrit :
Je crains qu'il n'y ait une certaine confusion quant au concept de
polymorphisme...
Mauvaise interprétation tout comme hacker/cracker. Pour moi le
polymorphisme est le meme que pour un virus biologique, voir définition du
dictionnaire... Après chaque "chercheur" a mis sa patte dans les mots...
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Oui il est évident qu'on parle de trojans développés à la volée non pas
dans le but d'etre diffusés, comme bo ou autre.
Le Sun, 20 Jul 2003 16:38:07 +0200, Frederic Bonroy a écrit :
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
Mauvaise interprétation tout comme hacker/cracker. Pour moi le polymorphisme est le meme que pour un virus biologique, voir définition du dictionnaire... Après chaque "chercheur" a mis sa patte dans les mots...
Précision: il n'en sont pas capables *avant de connaître sa signature*.
Oui il est évident qu'on parle de trojans développés à la volée non pas dans le but d'etre diffusés, comme bo ou autre.
Le Sun, 20 Jul 2003 16:30:08 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
Si je te donne un code d'exemple tu pourras toujours prétendre qu'il date de 15 jours ;) (quoi que en dos ca parait difficile)
Oui, mais en général on peut partir du principe qu'un virus diffusé largement sera entre les mains d'un éditeur pas tard. Alors on remplace par détection si on veut, en fait ça me convient encore mieux car ça repousse encore la date d'entrée en action des virus métamorphiques. :-)
Plutot qui a eu une action. Si un virus ne se déclenche pas (le système continue de fonctionner sans anomalie aucune), ca peut etre long meme à plus grande échelle. Cependant les plus répandus ne sont pas les plus dangereux. Ainsi je préfère tout de meme attraper une grippe qu'un virus ebola...
Ça n'existe pas quand on regarde globalement tous les virus existants. Mais 100% est faisable pour beaucoup de virus individuels.
Tu peux expliciter ?
Hélas. :-(
Oui... mais l'homme qui le crée n'est lui aussi pas exempt de bugs ;)
Le Sun, 20 Jul 2003 16:30:08 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
Si je te donne un code d'exemple tu pourras toujours prétendre qu'il date
de 15 jours ;) (quoi que en dos ca parait difficile)
Oui, mais en général on peut partir du principe qu'un virus diffusé
largement sera entre les mains d'un éditeur pas tard. Alors on remplace
par détection si on veut, en fait ça me convient encore mieux car ça
repousse encore la date d'entrée en action des virus métamorphiques. :-)
Plutot qui a eu une action. Si un virus ne se déclenche pas (le système
continue de fonctionner sans anomalie aucune), ca peut etre long meme à
plus grande échelle. Cependant les plus répandus ne sont pas les plus
dangereux. Ainsi je préfère tout de meme attraper une grippe qu'un virus
ebola...
Ça n'existe pas quand on regarde globalement tous les virus existants.
Mais 100% est faisable pour beaucoup de virus individuels.
Tu peux expliciter ?
Hélas. :-(
Oui... mais l'homme qui le crée n'est lui aussi pas exempt de bugs ;)
Le Sun, 20 Jul 2003 16:30:08 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Des exemples de quoi ? de code viral ? précisez votre question.
Des exemples de virus métamorphiques écrits avant 1995.
Si je te donne un code d'exemple tu pourras toujours prétendre qu'il date de 15 jours ;) (quoi que en dos ca parait difficile)
Oui, mais en général on peut partir du principe qu'un virus diffusé largement sera entre les mains d'un éditeur pas tard. Alors on remplace par détection si on veut, en fait ça me convient encore mieux car ça repousse encore la date d'entrée en action des virus métamorphiques. :-)
Plutot qui a eu une action. Si un virus ne se déclenche pas (le système continue de fonctionner sans anomalie aucune), ca peut etre long meme à plus grande échelle. Cependant les plus répandus ne sont pas les plus dangereux. Ainsi je préfère tout de meme attraper une grippe qu'un virus ebola...
Ça n'existe pas quand on regarde globalement tous les virus existants. Mais 100% est faisable pour beaucoup de virus individuels.
Tu peux expliciter ?
Hélas. :-(
Oui... mais l'homme qui le crée n'est lui aussi pas exempt de bugs ;)
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Si on suite cette définition alors cryptage simple = polymorphisme = métamorphisme or ce n'est justement pas le cas.
non du tout ! Je ne parle meme pas du cryptage. Un virus peut etre polymorphe sans etre crypté. Polymorphe veut simplement dire qu'il va changer de forme (de signature, de code), sans changer sa nature (cela reste un virus)
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Si on suite cette définition alors
cryptage simple = polymorphisme = métamorphisme
or ce n'est justement pas le cas.
non du tout ! Je ne parle meme pas du cryptage. Un virus peut etre
polymorphe sans etre crypté. Polymorphe veut simplement dire qu'il va
changer de forme (de signature, de code), sans changer sa nature (cela
reste un virus)
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Si on suite cette définition alors cryptage simple = polymorphisme = métamorphisme or ce n'est justement pas le cas.
non du tout ! Je ne parle meme pas du cryptage. Un virus peut etre polymorphe sans etre crypté. Polymorphe veut simplement dire qu'il va changer de forme (de signature, de code), sans changer sa nature (cela reste un virus)
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à la reproduction. Il n'y a absolument aucune difficulté à écrire un programme qui détectera toujours ce virus, donc on aura un taux de détection de 100% pour *ce* virus.
Pour les virus polymorphes c'est un peu plus compliqué, évidemment, mais c'est faisable aussi en théorie et pour beaucoup d'entre eux en pratique. Le problème là-dedans c'est surtout la durée de l'émulation. On ne peut pas émuler pendant des siècles. D'ailleurs l'article sur Zhengxi le montre bien, quand on accorde suffisamment de temps à l'émulateur le virus est toujours détecté.
Brain 0verride wrote:
Tu peux expliciter ?
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que
se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de
cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à
la reproduction.
Il n'y a absolument aucune difficulté à écrire un programme qui
détectera toujours ce virus, donc on aura un taux de détection de
100% pour *ce* virus.
Pour les virus polymorphes c'est un peu plus compliqué, évidemment,
mais c'est faisable aussi en théorie et pour beaucoup d'entre eux
en pratique. Le problème là-dedans c'est surtout la durée de
l'émulation. On ne peut pas émuler pendant des siècles.
D'ailleurs l'article sur Zhengxi le montre bien, quand on accorde
suffisamment de temps à l'émulateur le virus est toujours détecté.
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à la reproduction. Il n'y a absolument aucune difficulté à écrire un programme qui détectera toujours ce virus, donc on aura un taux de détection de 100% pour *ce* virus.
Pour les virus polymorphes c'est un peu plus compliqué, évidemment, mais c'est faisable aussi en théorie et pour beaucoup d'entre eux en pratique. Le problème là-dedans c'est surtout la durée de l'émulation. On ne peut pas émuler pendant des siècles. D'ailleurs l'article sur Zhengxi le montre bien, quand on accorde suffisamment de temps à l'émulateur le virus est toujours détecté.
Brain 0verride
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Que les termes de "polymorphe" et "métamorphique" aient été sagement
De mémoire le terme "metamorphe" a été inventé dans l'héroic fantasy et les jeux de roles... Il ne figure je ne crois pas au dictionnaire. Il designait une "créature" capable de prendre n'importe quelle forme humanoide (il y a donc plus une notion de reproduire une forme existante qu'autre chose)
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Que les termes de "polymorphe" et "métamorphique" aient été sagement
De mémoire le terme "metamorphe" a été inventé dans l'héroic fantasy et
les jeux de roles... Il ne figure je ne crois pas au dictionnaire. Il
designait une "créature" capable de prendre n'importe quelle forme
humanoide (il y a donc plus une notion de reproduire une forme existante
qu'autre chose)
Le Sun, 20 Jul 2003 17:00:48 +0200, Frederic Bonroy a écrit :
Que les termes de "polymorphe" et "métamorphique" aient été sagement
De mémoire le terme "metamorphe" a été inventé dans l'héroic fantasy et les jeux de roles... Il ne figure je ne crois pas au dictionnaire. Il designait une "créature" capable de prendre n'importe quelle forme humanoide (il y a donc plus une notion de reproduire une forme existante qu'autre chose)
