ADSL-BC

un forum sur l'ADSL en Belgique
https://forum.adsl-bc.org/

Virus et heuristique ...

https://forum.adsl-bc.org/viewtopic.php?f=18&t=11816

Page 1 sur 1

Virus et heuristique ...

Message Publié : 09 Nov 2003 23:10
par rfr
Comme vous le savez sans doute, certains AV utilisent des méthodes heuristique pour détecter des virus inconnus.

Mais voilà, la méthode heuristique ne marche que si le "code" est connu ... Pour l'intérêt scientifique, je vous présente une méthode qui "défierait" les heuristiques ...

A l'heure des machine virtuelles (Java, .NET), l'idée est d'implémenter une machine virtuelle qui interpréterait le code viral, qui ne serais donc plus écris en langage machine mais dans un pseudo-code. A l'aide d'un VVM (Viruses Virtual Machine), le code du virus serait interprété et non exécuté directement.

Je me demande dans quelle mesure un AV serait capable de détecter un truc pareil???

Attention, l'intéret n'est que scientifique (pour en revenir à l'esprit orginal des virus :))

Un avis?

Re: Virus et heuristique ...

Message Publié : 09 Nov 2003 23:32
par RippeR
rfr a écrit :Comme vous le savez sans doute, certains AV utilisent des méthodes heuristique pour détecter des virus inconnus.

Mais voilà, la méthode heuristique ne marche que si le "code" est connu ... Pour l'intérêt scientifique, je vous présente une méthode qui "défierait" les heuristiques ...
Non, il analyse le code pour voir s'il présente des similitudes avec du code malfaisant. Les meilleurs moteurs heuristiques ne détectent d'ailleurs au maximum que 50 à 70 % des nouveaux virus

A l'heure des machine virtuelles (Java, .NET), l'idée est d'implémenter une machine virtuelle qui interpréterait le code viral, qui ne serais donc plus écris en langage machine mais dans un pseudo-code. A l'aide d'un VVM (Viruses Virtual Machine), le code du virus serait interprété et non exécuté directement.
C'est le cas de la plupart des virus et ils ne sont pas écrit en language machine généralement

Je me demande dans quelle mesure un AV serait capable de détecter un truc pareil???
Comme tous les autres virus : dès que la sig est ajoutée dans leur DB.
L'heuristique est un plus mais pas indispensable, surtout si le dev est très réactif et ajoute les sig très rapidement. Les plus rapide ne mettent que qq heures à ajouter la sig lors de l'émergence d'un nouveau virus/ver/trojan

Attention, l'intéret n'est que scientifique (pour en revenir à l'esprit orginal des virus :))
Le meilleur endroit pour avoir des réactions à ce type de questions est le NG fr.comp.securite.virus

Un avis?

Message Publié : 09 Nov 2003 23:37
par rfr
1) AVP est (ou étais) très fort à ce petit jeu là ... du moins pour les virus "machine"
2)Je ne parle pas des macro virus et autre machin en VBS mais bien des virus pour exécutable, écris le plus souvent un assembleur
3) signature ... ne résiste guère au polymorphisme. La VVM est une amélioration du polymorphisme
4) ça change des 2fit,belcenter et latribu non ? :)

Message Publié : 10 Nov 2003 01:04
par RippeR
[quote="rfr"]1) AVP est (ou étais) très fort à ce petit jeu là ... du moins pour les virus "machine"

3) signature ... ne résiste guère au polymorphisme. La VVM est une amélioration du polymorphisme
Les polymorphes sont généralement très facilement détectés sur base des sig : il y a un string commun
Le fuseau horaire est UTC+1 heure [Heure d’été]
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/