Méthode de détéction par spectre (AV)
|
11-10-2013, 22h56
(Modification du message : 11-10-2013, 23h07 par Loup.)
Message : #1
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
Méthode de détéction par spectre (AV)
Bonsoir, j'étudie en ce moment la virologie informatique et donc, le fonctionnement des antivirus, j'ai à peu près tout compris sur les méthodes de détéctions etc...
Sauf une qui reste assez floue, malgrès mes recherches. J'aimerai qu'on m'explique precisement ce qu'est l'analyse spectrale d'un programme... J'ai compris (à peu près) qu'en fait, l'av va analyser les instructions d'un programme suspect et si une instruction parait suspecte (non présente dans un programme normal) l'av va placer le fichier en quarantaine ou l'éradiquer... Quelqu'un à une définition "plus claire" que la mienne? Merci Auto-réponse: Ah en fait je crois avoir compris, un programme compilé est toujours composé de la signature de son compileur, or, un malware polymorphique (en théorie) est censé chiffré sa signature (et donc le code), comme les instructions seront "inconnues" (et qu'il ne trouvera pas la présence d'un quelconque compileur) l'antivirus détéctera le fichier comme malveillant. |
|
12-10-2013, 14h57
Message : #2
|
|
Ekroz
Membre actif Messages : 77 Sujets : 13 Points: 43 Inscription : May 2013 |
RE: Méthode de détéction par spectre (AV)
Salut,
Tu mélanges plusieurs choses... Un programme compilé ne possède pas nécessairement de signature de son compilateur, à la limite peut-être que le code généré peut être "reconnu" comme venant d'un compilateur ou d'une famille de compilateurs en particulier mais c'est tout :') La signature d'un malware c'est juste une suite de bytecodes unique, et le chiffrement permet de faire disparaître cette "empreinte". Après si le malware est capable de se chiffrer avec une nouvelle clé, on dit qu'il devient polymorphique. Certains sont mêmes capables de se chiffrer avec un nouvel algorithme, en changeant de stub. Voilà je m'y connais pas à 100% mais je pense m'approcher des bonnes répones. |
|
12-10-2013, 15h19
(Modification du message : 12-10-2013, 15h20 par Loup.)
Message : #3
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
RE: Méthode de détéction par spectre (AV)
"Certains sont mêmes capables de se chiffrer avec un nouvel algorithme, en changeant de stub."
Métamorphiques? Citation :Un programme compilé ne possède pas nécessairement de signature de son compilateur, à la limite peut-être que le code généré peut être "reconnu" comme venant d'un compilateur ou d'une famille de compilateurs en particulier mais c'est tout :') Effectivemment après quelques recherches, l'analyse spectrale est en fait une analyse passive qui va donc juste analyser le code machine à la recherche d'instructions "virales". (et une routine de déchiffremment est considérée comme tel) Cette méthode est une des plus efficaces (40 à 60% de reussite) car elle détécte souvent les malware qui n'ont pas leur signature enregistrée dans la bdd. Maintenant que je suis assez renseigné sur le sujet, j'écris un papper que je publierai sur mon blog, je te tiens au courant si ça t'intéresse... |
|
15-10-2013, 12h13
Message : #4
|
|
Enila
Grammar Nazie Messages : 165 Sujets : 9 Points: 61 Inscription : Nov 2011 |
RE: Méthode de détéction par spectre (AV)
Citation :Maintenant que je suis assez renseigné sur le sujet, j'écris un papper que je publierai sur mon blog, je te tiens au courant si ça t'intéresse... Ou tout simplement partager ton paper ici, ou bien encore le proposer dans la section tutoriels si ça peut être utile etc. Nous sommes là aussi pour partager
« Oh ! Clad ! Tes cheveux ressemblent à un chocobo... » ©Tifa/FF7
|
|
15-10-2013, 22h00
(Modification du message : 15-10-2013, 22h01 par Loup.)
Message : #5
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
RE: Méthode de détéction par spectre (AV)
@Enila, je veux bien le publié, mais j'attend une copine pour qu'elle me corrige/conseil des choses pour mon papper [condensé]
Ce sera [normalement] prêt pour Samedi/Dimanche Sinon tu peux regarder la partie non-modifiée en attendant l'édition: http://w0rldbinary.blogspot.fr/ (2eme article) |
|
15-10-2013, 23h31
Message : #6
|
|
Enila
Grammar Nazie Messages : 165 Sujets : 9 Points: 61 Inscription : Nov 2011 |
RE: Méthode de détéction par spectre (AV)
Ok cool
Si tu veux je pourrai également faire une dernière relecture/vérification concernant les fautes de français/grammaticales... si j'ai le temps ^^
« Oh ! Clad ! Tes cheveux ressemblent à un chocobo... » ©Tifa/FF7
|
|
15-10-2013, 23h35
(Modification du message : 15-10-2013, 23h37 par Loup.)
Message : #7
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
RE: Méthode de détéction par spectre (AV)
Ah merci beaucoup! ça serait sympas effectivement!
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Système de détection d'intrusion | notfound | 8 | 447 |
28-11-2012, 13h29 Dernier message: notfound |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)