Affichage hiérarchique

Loup · (Modification du message : 11-10-2013, 23h07 par Loup.)

Bonsoir, j'étudie en ce moment la virologie informatique et donc, le fonctionnement des antivirus, j'ai à peu près tout compris sur les méthodes de détéctions etc...

Sauf une qui reste assez floue, malgrès mes recherches.
J'aimerai qu'on m'explique precisement ce qu'est l'analyse spectrale d'un programme...

J'ai compris (à peu près) qu'en fait, l'av va analyser les instructions d'un programme suspect et si une instruction parait suspecte (non présente dans un programme normal) l'av va placer le fichier en quarantaine ou l'éradiquer...

Quelqu'un à une définition "plus claire" que la mienne?
Merci Smile

Auto-réponse:
Ah en fait je crois avoir compris, un programme compilé est toujours composé de la signature de son compileur, or, un malware polymorphique (en théorie) est censé chiffré sa signature (et donc le code), comme les instructions seront "inconnues" (et qu'il ne trouvera pas la présence d'un quelconque compileur) l'antivirus détéctera le fichier comme malveillant.

Ekroz · 12-10-2013, 14h57

Salut,

Tu mélanges plusieurs choses...

Un programme compilé ne possède pas nécessairement de signature de son compilateur, à la limite peut-être que le code généré peut être "reconnu" comme venant d'un compilateur ou d'une famille de compilateurs en particulier mais c'est tout :')

La signature d'un malware c'est juste une suite de bytecodes unique, et le chiffrement permet de faire disparaître cette "empreinte".

Après si le malware est capable de se chiffrer avec une nouvelle clé, on dit qu'il devient polymorphique.
Certains sont mêmes capables de se chiffrer avec un nouvel algorithme, en changeant de stub.

Voilà je m'y connais pas à 100% mais je pense m'approcher des bonnes répones.

Loup · (Modification du message : 12-10-2013, 15h20 par Loup.)

"Certains sont mêmes capables de se chiffrer avec un nouvel algorithme, en changeant de stub."
Métamorphiques? Smile

Citation :Un programme compilé ne possède pas nécessairement de signature de son compilateur, à la limite peut-être que le code généré peut être "reconnu" comme venant d'un compilateur ou d'une famille de compilateurs en particulier mais c'est tout :')

Effectivemment après quelques recherches, l'analyse spectrale est en fait une analyse passive qui va donc juste analyser le code machine à la recherche d'instructions "virales". (et une routine de déchiffremment est considérée comme tel)

Cette méthode est une des plus efficaces (40 à 60% de reussite) car elle détécte souvent les malware qui n'ont pas leur signature enregistrée dans la bdd.

Maintenant que je suis assez renseigné sur le sujet, j'écris un papper que je publierai sur mon blog, je te tiens au courant si ça t'intéresse... Smile

Enila · 15-10-2013, 12h13

Citation :Maintenant que je suis assez renseigné sur le sujet, j'écris un papper que je publierai sur mon blog, je te tiens au courant si ça t'intéresse...

Ou tout simplement partager ton paper ici, ou bien encore le proposer dans la section tutoriels si ça peut être utile etc.
Nous sommes là aussi pour partager Wink

Loup · (Modification du message : 15-10-2013, 22h01 par Loup.)

@Enila, je veux bien le publié, mais j'attend une copine pour qu'elle me corrige/conseil des choses pour mon papper [condensé]

Ce sera [normalement] prêt pour Samedi/Dimanche Smile

Sinon tu peux regarder la partie non-modifiée en attendant l'édition:
http://w0rldbinary.blogspot.fr/ (2eme article)

Enila · 15-10-2013, 23h31

Ok cool

Si tu veux je pourrai également faire une dernière relecture/vérification concernant les fautes de français/grammaticales... si j'ai le temps ^^

Loup · (Modification du message : 15-10-2013, 23h37 par Loup.)

Ah merci beaucoup! ça serait sympas effectivement!

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Système de détection d'intrusion	notfound	8	379	28-11-2012, 13h29 Dernier message: notfound

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler