Anti virus - Page 2

Le code, mais pas le code exécuté. Ceci dit, ton système si il marchait aurait l'avantage de pouvoir détecter des virus sans nécessiter de base de connaissance, ce qui n'est pas le cas des anti-virus actuels. Mais à mon avis, il ne peut pas marcher.

(au passage, je n'imagine pas les performances de l'anti-virus qui lancerait toutes les applications de mon pc pour vérifier si elles sont fiables ou non )

sans compter que devoir attendre une semaine pour utiliser une application...

./32 > Relecture stp.

Certains antivirus prétendent exécuter les exécutables dans une VM dans leur mode heuristique, maintenant, si c'est vraiment ce qu'ils font ou si c'est juste du langage publicitaire (marketing), je ne sais pas, étant donné surtout que ces logiciels ne sont pas fournis avec le code source.

Zephyr (./28) :
Sauf que les anti-virus ne regardent pas le code exécuté pour savoir si un programme est dangereux ou non, il me semble ^^

Certains le font, mais ça reste (très) limité.

On regarde une signature du fichier ou de la partie infectieuse (avant exécution).

./36 exactement l'antivirus a une liste de virus connu sur toutes le formes conues, et cherche dans les executables lancé avant de laisser la main a l'OS si le fichier contiens une des signatures qu'il a dans la base. Si il y a un match, il decrete que c'est un virus, sinon non. Et meme avec un pseudo heuristique ou la methode en #0 et les antivirus "classiques" rien n'empeche de faire un virus vraiment méchant qui passerait outre toutes les methodes, enfin pour la derniere tant qu'il est pas connu, apres c'est terminé...

onur (./29) :
on lance "l'anti-virus", il fait un snap-shot de tout le système qu'il fout dans un systeme émulé. On installe et execute un logiciel.. ca le fait automatiquement dans le systeme émulé. Si au bout de 1 semaine on est satisfait, on "commit" vers le système natif.

Trop facile à contourner. Suffit que le virus dorme une semaine après avoir contaminé un système et ne s'active qu'après. Je vois absolument pas l'intérêt de ton truc en fait ^^

spectras (./38) :

onur (./29) :
on lance "l'anti-virus", il fait un snap-shot de tout le système qu'il fout dans un systeme émulé. On installe et execute un logiciel.. ca le fait automatiquement dans le systeme émulé. Si au bout de 1 semaine on est satisfait, on "commit" vers le système natif.

Trop facile à contourner. Suffit que le virus dorme une semaine après avoir contaminé un système et ne s'active qu'après. Je vois absolument pas l'intérêt de ton truc en fait ^^

et puis un systeme a la time machine fait aussi bien et est moins contraignant...

./32 et ./38 > cf. ./29 L'histoire d'une semaine j'ai dit que c'était une solution à l'extrême. L'idée de base c'est qu'on simule, on regarde ce que ça fait avec les appels systèmes, il faut avoir l'oeil c'est vrai, et si ça parait OK à l'utilisateur, on passe ce qui est émulé en natif.

Et c'est le "à l'utilisateur" qui fait la puissance et la faiblesse de cet anti-virus. Mais comme j'ai dit, ca ne vise pas l'utilisateur madame lambda.

Et puis sinon on peut toujours sortir les arguments du genre "c'est nul parce que le virus peut contourner le truc en...." Oui ca peut toujours contourner l'anti-virus en se comportant pas comme un virus, il pourrait même ne jamais s'executer du tout! c'est dingue non?

./40> c'est pas une solution à l'extrème, c'est une solution qui marche pas.
./41> sauf que par essence, la mise en place d'un tel système fera que les virus sortant après feront exprès d'attendre. Par ailleurs, de très nombreux malware le font déjà (toutes les bombes logiques à déclenchement temporel par exemple). Sans compter que détecter qu'il est surveillé est très facile pour un malware, la preuve c'est que la plupart des virus récents sont capables de détecter quand ils sont dans une VM, et de prendre des mesures appropriées (allant d'une simple auto-désactivation à l'exécution d'exploits pour gagner l'accès au système physique).

spectras (./42) :
./40> c'est pas une solution à l'extrème, c'est une solution qui marche pas.

la "solution à l'extreme" est celle que je ne propose pas, c'est ca que je me tue à dire.

spectras (./42) :
./41> sauf que par essence, la mise en place d'un tel système fera que les virus sortant après feront exprès d'attendre. Par ailleurs, de très nombreux malware le font déjà (toutes les bombes logiques à déclenchement temporel par exemple). Sans compter que détecter qu'il est surveillé est très facile pour un malware, la preuve c'est que la plupart des virus récents sont capables de détecter quand ils sont dans une VM, et de prendre des mesures appropriées (allant d'une simple auto-désactivation à l'exécution d'exploits pour gagner l'accès au système physique).

ça ok.

Tu sais onur, tes questions, des gens se les sont posées (pas forcément sur le même sujet) depuis le début de l'informatique. « Comment savoir qu'un programme fait bien ce qu'on veut qu'il fasse ? ». Cette question, ça fait bien longtemps (depuis allez, 40 ans) qu'on sait que ce n'est pas en testant le programme de manière dynamique qu'on va y répondre. D'après toi, à quoi sert le typage ? À quoi servent les warnings de compilation ? À quoi sert l'analyse statique ? À quoi servent les prouveurs automatiques ? etc, etc, etc ...

L'approche intelligente, c'est clairement l'approche sémantique. Et des gens ont déjà travaillé dessus d'ailleurs. cf ça par exemple.

vi, mais ça m'étonnerait un peu que le virus soit fourni avec son code source

T'as pas forcément besoin du code source pour faire de l'analyse sémantique. Tu peux très bien t'intéresser à la sémantique du code machine.

euh.. on dirait que tu crois que j'ai l'impression d'avoir trouvé le truc du siècle.. ca pourrait expliquer les quelques réponses un peu méprisantes qu'il y a eu dans ce topic. Attention, je prétends pas être un génie. J'ai décrit l'outil que j'aimerais avoir moi, j'ai demandé si ca existait pas, et si ca existait pas effectivement ce que les "spécialistes" en pensaient..

sinon oui j'ai quelques idées de ce qu'est l'analyse sémantique etc. et malgré mon ego surdimensionné de faux-génie, je pense qu'il y a des gens qui se sont déjà penché sur ces problèmes.

l'autre probleme de cette approche, 'est que si l'appli est cryptée, ben nada ça peut pas marcher

Ben non, justement l'exécution dans une VM est un moyen de forcer l'application à se décrypter.

onur (./47) :
euh.. on dirait que tu crois que j'ai l'impression d'avoir trouvé le truc du siècle.. ca pourrait expliquer les quelques réponses un peu méprisantes qu'il y a eu dans ce topic. Attention, je prétends pas être un génie. J'ai décrit l'outil que j'aimerais avoir moi, j'ai demandé si ca existait pas, et si ca existait pas effectivement ce que les "spécialistes" en pensaient..

Justement je pense que le problème est ici : personnellement, je le perçois exactement comme lors de ta proposition de moteur de recherche pour yN, j'ai l'impression que tu es persuadé que ta solution est géniale, et je suis persuadé qu'elle est pourrie (ce n'est que mon avis) donc forcément ça colle pas.

Si tu avais commencé ton topic en t'avançant un peu moins, je pense que les réponses auraient été moins agressives, mais regarde ta première phrase : "Selon moi, tous les anti-virus sont de la merde" (ok, il y a "selon moi", mais le reste est un peu violent de la part de quelqu'un qui en connait a priori beaucoup moins que les gens qui travaillent sur ce problème depuis des années)

non justement, je dis "moi norton et les autres que je connais ne me vont pas" (c'est vrai que "c'est de la merde" est exagérée mais norton je peux vraiment pas le blairer.) et là je dis bien "les autres que je connais" parce que justement je me demande si celui que j'aurais aimé avoir existe.

A part ca, que le système en lui-même soit critiqué, je le prends vraiment pas personnellement, au contraire c'était le but: "qu'en pensez-vous?"