| | | Protection antivirus |  |
| | | Auteur | Message |
|---|
Myrdhin
Nombre de messages : 74
Date d'inscription : 01/01/2009
| Sujet: Protection antivirus  Mer 7 Jan - 5:15 | |
| Ce nouveau post fait suite à l'explication fournis sur le site des LGR.
http://lesgardes.1fr1.net/utile-technique-informatique-f14/antivirus-t425.htm
Mais cette fois-ci je vais tenter une nouvelle approche(plus dramatique^^).
Tout d'abord ques-ce qu'un virus ?
un virus est un programme et comme tout programme, il a besoin des droits d'administrateur pour s'installer sur le système.Seulement l'utilisateur est par défaut administrateur sur Windows,ce qui fait de celui que l'on nomme parfois ''windaube'',sa plus grosse faille de sécurité... Windows remet donc les pleins pouvoirs à un utilisateur qui n'est que rarement conscient de ce qui tourne sur son pc.Le pirate ne vas pas se gêner à exploiter cette grosse faille de sécurité que les divers utilitaires de sécurité ne peuvent compenser ( à suivre plus bas).
Vous me voyez donc venir...il n'est pas conseiller de surfer sur le net avec les droits d'administrateur.D'autant plus qu'il ne sont pas nécessaire...Ceci éviteras le plus gros vecteur d'infection.
Les antivirus dans tout sa ?
La première barrière à franchir par le virus est l'analyse par signature de vôtre antivirus préférer.Chaque virus possédant une signature hexadécimale qui lui est propre (prenez sa comme une clé cd),l'antivirus détecteras ou non la menace si elle est présente dans sa base de donné.La technique utiliser par les pirates est biensur de submerger cette bases de donné en créant de très nombreuses variantes de celui-ci(prenez sa comme le keygen),modifiant par la même occasion la signature du virus,le rendant totalement indétectable...
Les éditeur d'antivirus se rendant très vite compte de l'inefficacité de leur protection ont intégrer une deuxième barrière,plus robuste cette fois.Cette nouvelle méthode est appelé l'analyse par code générique.Cette technique consiste à détecter le virus par catégorie,ainsi si le virus A est présent dans la base de donné,tout les virus A.variante seront automatiquement détecter puisqu'il appartienne à la même catégorie.Ce qui met en échec la technique des pirates qui consistait à submerger l'éditeur d'antivirus avec des milliers de variantes/h qui n'était très souvent pas détecter.Toutefois rien n'empêche le pirate de créer un virus B,qui lui ne seras pas détecté puisque non présent dans la base de donné et qui de plus n'appartient pas à la même catégorie.Ce qui lui laisse le temps au pirate d'infecter nombres de PC(en utilisant la première méthode) jusqu'à ce que l'éditeur ajoute le virus dans sa base de donné et élabore une contre-mesure générique.(Qui nécessite plus de temps à développer)
Non content de se faire déjouer si facilement,les éditeurs d'antivirus ont sortis l'artillerie lourde et ont développer une nouvelle méthode de détection sans précèdent...Cette technique,qui est la plus avancée en matière de protection actuelle,est nommé l'analyse heuristique.Cette analyse consiste à décortiquer entièrement le code du programme et détecter tout bout de code qui est susceptible de nuire au système.Ainsi,cette analyse est totalement indépendante de la base de donné de l'antivirus et peut sans problème intercepter une variante ou un nouveau type de virus inconnus.Toutefois cette analyse n'est pas parfaite...les pirates dissimulant le code source de leur virus avec de plus en plus d'habilitée et de sophistication(packing,cryptage),l'analyse heuristique ne suffit plus aujourd'hui ! Et pourtant c'est la solution la plus avancée de nos jour ! Comme le montre le comparatif sur le site des LGR,même les meilleurs moteur d'analyse heuristique ne dépasse pas les 70 % de détection,ce qui laisse + ou - 1 chance sur 3 à chaque site visité de se faire infecté !
Mes recommandations : Ne pas se fier au site de comparatif qui se livre encore au test de ''l'épreuve du feu'' ou du ''on-demand scan'' qui affiche la capacité à détecter des virus CONNUS qui ne sont vraiment plus d'actualité comme le montre les protections 1 et 2.Ces genre de test sont complètement dépassé et ne montre vraiment pas la réalité et l'actuelle menace qui cour sur le net.Donc je recommande de choisir son antivirus selon son taux de détection heuristique ou selon les performances générales de vôtre pc.
À éviter : Avast n'est vraiment pas à conseiller....Je cite celui-ci car les gens ont souvent tendance à le prendre pour sa gratuité et sa popularité.
Principe d'attaque des virus :
Il existe de très nombreuses stratégie d'attaque,mais la plus utilisé et étant la plus discrète et la plus efficace : la faille de sécurité.Le principe consiste à exploité une faille de sécurité dans la navigateur et si l'utilisateur à le malheur de tomber sur une page corrompue,l'infection s'installe automatiquement sur le système.Prenons par exemple les nombreuse publicité sur ce site présent sous forme de bannière,qui peuvent représenter un risque d'infection.Je ne sais pas combien de fois on m'a dit que j'étais le 1 000 000 visiteurs :
-L'utilisateur clique sur le pub
-L'infection est dissimulé sur le site publicitaire par un iframe de la taille d'un pixel,donc totalement invisible par l'utilisateur.Ce Iframe ne vas pas tarder à charger son serveur de téléchargement pour télécharger l'infections sur vôtre ordinateur.Cette partie de l'infection s'appelle le dropper (installateur de l'infection),qui est biensur conçut de manière à passer inaperçue par l'analyse heuristique (packing/cryptage).Si l'antivirus détecte le dropper avant son installation,ouf vôtre pc n'est pas infecter ! Si le dropper n'est pas détecter,le dropper vas installer le payload (le virus) et c'est là que les problèmes commencent et peut importe vôtre antivirus,il ne pourras généralement jamais vous sortir d'une tel situation.
-Dès le relâchement du payload,de nouveau processus commence à apparaitre dans le gestionnaire des tâches,sous process explorer et Hijackthis.
La suite des évènements vas dépendre fortement du type d'infection auquel vous êtes confronté.Dans tout les cas,dès l'installation du payload,celui-ci ouvre généralement de nouveau port afin de télécharger d'autre infections sur vôtre pc,d'où l'utilité d'avoir un firewall qui détecte les connexions entrante ET sortante.Ceci se traduit généralement par des alertes ininterrompus de vôtre antivirus,celui-ci pouvant parfois détecté le ''Downloader''.Toutefois souvenez-vous...l'antivirus na jamais été capable de détecter le dropper de l'infection,donc même si vôtre antivirus vous supprime plusieurs virus qui sont en faites les ''Downloader'',l'infection est toujours présente sur le pc.
*Sa na vous rappelle pas les très nombreux Trojan.downloader ? ^^*
Les rootkit....
Les bêtes noir des antivirus/expert sécurité informatique laissez moi vous expliquer pourquoi.... Tout processus est affiché à l'utilisateur grâce à un appel système générale effectuer via la table SSD de Windows.Ce qui fait que le gestionnaire des tâches,process explorer et hijackthis peuvent vous afficher les processus en cours d'exécution.Le dropper vas souvent être accompagné d'un rootkit dont la tache seras de détourné la table SSD de Windows.Ainsi,l'utilisateur lance un appelle système,l'appelle système tente de répondre à l'utilisateur mais est intercepter par le rootkit,ce rootkit vas tout simplement ''retiré'' la ligne d'appel système qui indiquait la présence du rookit et de ses confrères.Celui-ci vas ensuite renvoyer l'appelle système modifier à l'utilisateur.Ce qui rend ce processus totalement indétectable par l'utilisateur via le gestionnaire des tâches,process explorer ou encore hijackthis,mais également par l'antivirus !
D'où l'importance de détecter le dropper ou de prévenir l'infection : Il vaut mieux prévenir que guérir.
C'est pourquoi il faut utiliser un navigateur qui se maintient régulièrement à jour,en l'occurrence Firefox et ne surtout pas utiliser internet explorer.Pour utiliser la version sécurisé de Mozilla Firefox,c'est ici : http://forum.zebulon.fr/securiser-un-peu-plus-firefox-t69628.html
Surtout il ne faut pas croire que si l'antivirus détecte 45 virus et qu'en essayant d'autre antivirus,il ne détecte rien non plus,que vôtre pc est désinfecter.Comme vu précédemment, 45 virus correspond à un nombre non négligeable de dropper et de risque d'infections via rootkit.Il fort probable,voir certain que vôtre pc est toujours infecter.
Petite Anecdote :
Mon ami à développer un petit programme compiler en visual basic dont le but n'était pas de tester la capacité de destruction du ''programme malveillant'' mais d'évaluer les limites de la capacité de détection de l'antivirus.Au début,il à travaillé sur un prototype pas très efficace puisqu'il fallait installer l'infection par nous même avec des restrictions spécifiques.Je l'ai donc mis au défi de me pondre quelque chose de potable et avec quelques une de mes brillantes idées(^^) nous sommes arrivé à un quelque chose de plutôt pas mal.Résultat il a fait circuler sur internet un faux addons pour msn messenger,contenant un installateur avec une licence microsoft,tout était parfaitement ''légitime'' et convainquant.L'installation se déroule selon les règles de l'art et demande même de redémarré l'ordinateur.Mais dès le boot de Windows la séquence d'arrêt de l'ordinateur s'enclenche,ce qui rend l'ordinateur totalement inutilisable...
Ma question est donc : Comment faire pour résoudre ce problème sachant que msn y est pour quelque chose ?
Mon autre question : Comment est-il possible qu'un programme effectuer par des débutants soit totalement indétectables par tout les antivirus ?
Trouvez la réponse à ces questions et vous trouverez l'une des autres faille que peut posséder Windows.Ne chercher pas trop loin,mon ami et moi même ne disposons nullement des connaissances nécessaire pour faire du Hacking,il s'agit donc d'une approche simple mais ingénieuse et efficace.
Bien qu'il reste encore beaucoup à dire je vais m'arrêter ici pour l'instant ceci afin de vous laissez le temps de bien assimiler le contenue que je viens de vous décrire et laissez le temps à certains de reprendre leur idée venant d'apprendre que leur antivirus n'est pas aussi efficace qu'il le croyait.
Prochain rendez-vous : Voyez comment Gui-elros à succomber face à la toute puissance d'un autre de nos prototypes utilisant cette fois-ci des processus systèmes pour se lancer...Saurez vous reconnaitre le vrai du faux ?
*à noter que chacun de nos programmes sont entièrement inoffensif si il ne sont pas traité avec paranoïa (formatage).
À noter que toute les informations contenue dans cette page sont un court résumer des nombreuses explications de Malekal version simplifié par Myrdhin,donc ne soyez pas surpris si le contenue est similaire au grand Malekal,expert en sécurité informatique. | |
| | | | Invité
Invité
| | Sujet: Re: Protection antivirus Mer 7 Jan - 10:47 | |
| Voilà mon opinion Myrdhin,les éditeurs d'antivirus et Microsoft marchent de concert afin d'engranger le maximum de pognon. |
| | | | Bruix
Nombre de messages : 676
Age : 36
Localisation : Rennes
Date d'inscription : 05/01/2009
| | Sujet: Re: Protection antivirus Mer 7 Jan - 12:53 | |
| certains points de désaccord mais dans l'ensemble très bien expliqué pour mettre les miquettes à l'utilisateur lambda :p | |
| | | | O'Higgins
Nombre de messages : 1382
Localisation : St Etienne
Date d'inscription : 03/01/2009
| | Sujet: Re: Protection antivirus Mer 7 Jan - 15:59 | |
| Contre les virus:
- Pas télécharger de connerie
- Ccleaner
- Hijackthis
- Ccleaner
Et la, oh miracle, plus rien. | |
| | | | Bruix
Nombre de messages : 676
Age : 36
Localisation : Rennes
Date d'inscription : 05/01/2009
| | Sujet: Re: Protection antivirus Mer 7 Jan - 16:03 | |
| ou mieux ... passez sous linux ^^
pour les windowsiens ouai Ccleaner est simpa et surtout un cleaner de registre | |
| | | | Invité
Invité
| | Sujet: Re: Protection antivirus Mer 7 Jan - 17:20 | |
| Tout à fait d'accord avec Ney, les virus sont même si je puis dire, crée par l'Entreprise Windows. Ils les créent eux même pour se faire encore plus de thune. Sérieux c'est vraiment con, il est pas content Bill Gates avec tout ce pognon? il a encore besoin d'emmerder les gens avec les produits qu'il leur vend? |
| | | | Myrdhin
Nombre de messages : 74
Date d'inscription : 01/01/2009
| | Sujet: Re: Protection antivirus Mer 7 Jan - 20:13 | |
| - Aiglon.Duguay-Trouin a écrit:
- certains points de désaccord mais dans l'ensemble très bien expliqué pour mettre les miquettes à l'utilisateur lambda :p
J'ai crus comprendre que tu étais ingénieur,ton avis m'intéresse donc au plus haut point.Bien que je n'ai pas encore détaillé les moyens de se prémunir de ces infections ^^. Mais oui effectivement approche dramatique  - Citation :
- Voilà mon opinion Myrdhin,les éditeurs d'antivirus et Microsoft marchent de concert
Entièrement d'accord mais pas pour faire QUE du pognon.Pour fournir à l'utilisateur la protection la plus efficace, la collaboration entre les éditeurs d'antivirus et Microsoft est de mise.Ainsi si un éditeur d'antivirus détecte une faille grave dans Windows il peut la rapporter à Microsoft pour qu'elle soit corriger... Ceci étant bénéfique pour l'antivirus (celui-ci devient plus efficace) et Windows gagne en sécurité,donc Microsoft gagne en fiabilité. À noter que même les utilisateurs peuvent rapporter des failles à Microsoft.... - Citation :
- Tout à fait d'accord avec Ney, les virus sont même si je puis dire, crée par l'Entreprise Windows. Ils les créent eux même pour se faire encore plus de thune. Sérieux c'est vraiment con, il est pas content Bill Gates avec tout ce pognon? il a encore besoin d'emmerder les gens avec les produits qu'il leur vend?
Si seulement c'était aussi simple  Oui Microsoft peut accroitre considérablement le niveau de sécurité de Windows mais l'utilisateur risque de ne pas être content du résultat.Le seul système d'exploitation au monde qui soit aussi polyvalent,risque de devenir comme ces concurrents...Ce qui n'est pas malsain en soit,mais peut réduire la très grande compatibilité logiciel que fournis Windows,peut réduire considérablement les droits/possibilité de l'utilisateur sans connaissances particulière. Linux bien que très sécuritaire est très loin d'être aussi simple d'utilisation que Windows... Oui Microsoft peut adjoindre à son OS des ''intrusion detection system''... Oui il peut adjoindre des Firewall digne de ce nom.Mais c'est systèmes de prévention d'intrusion,bien que très avancée et efficace dépendent encore de l'utilisateur. Pour ce qui est des virus il faut savoir une chose(que je n'ai pas dite dans mon post) : Pour qu'un antivirus quelconque détecte une nouvelle infection il faut que l'éditeur soit au courant de la nouvelle menace.Les premiers avertis des nouvelles menaces sont généralement les forums de désinfections qui se font une joie de faire remonter le tout au différent éditeur d'antivirus.Ce qui n'empêche pas les éditeurs d'antivirus de créer effectivement des virus pour tenter de déjouer leur propre protection,pour ensuite la renforcer... Secondo,les pirates étant généralement des anciens expert en sécurité informatique(ou possédant une très grande connaissance dans le domaine) savent très bien ce qu'il ont à faire pour déjouer la protection d'un antivirus et savent à quel difficulté se heurtent les éditeurs d'antivirus. Peut importe l'éditeur,le pirate aura toujours une longueur d'avance le temps que l'éditeur soit seulement conscient qu'une nouvelle menace à été créer. Oui Microsoft fait du pognon mais ne peut pas lutter contre une tel menace... | |
| | | | Invité
Invité
| | Sujet: Re: Protection antivirus Jeu 8 Jan - 13:31 | |
| A ce propos,nous savons tous que les versions free ne sont pas complète alors ne vous faites pas piéger,il vaut mieux payer que d'avoir des emmerdes à répétitions,personnellement j'avais opté pour Antivir en free et ensuite j'ai acheté la version Premium pour 29.90€ et quand j'ai scanné surprise des logiciels espions était dans mes documents et depuis plus aucun soucis(je touche du bois)  |
| | | | Bruix
Nombre de messages : 676
Age : 36
Localisation : Rennes
Date d'inscription : 05/01/2009
| | Sujet: Re: Protection antivirus Jeu 8 Jan - 13:58 | |
| je conseil à tous NOD32 d'ESET comme antivirus il est très efficace
mise à jour silencieuse et surtout analyse heuristique des données entrantes et sortantes | |
| | | | Invité
Invité
| | Sujet: Re: Protection antivirus Jeu 8 Jan - 14:12 | |
| Peux tu argumenter,il est payant? |
| | | | Bruix
Nombre de messages : 676
Age : 36
Localisation : Rennes
Date d'inscription : 05/01/2009
| | Sujet: Re: Protection antivirus Jeu 8 Jan - 14:15 | |
| oui désolé,
NOD32 n'est pas gratuit malheureusement, à vous de voir si vous voulez braver les lois ou payer le tribu de la sécurité
comme AV gratuit il y a toujours Avast mais rien de bien exceptionnel | |
| | | | Contenu sponsorisé
| | Sujet: Re: Protection antivirus | |
| |
| | | | | | Protection antivirus | |
|
| | Permission de ce forum: | Vous ne pouvez pas répondre aux sujets dans ce forum
| |
| |
| |
