Les virus étant le plus souvent dangereux
pour l’ordinateur, il est nécessaire de réussir à les détecter pour les
éliminer. Il existe pour cela de nombreuses techniques.
3.1.
Le scanning
Les virus que nous avons javascript:void(0);vu sont identiques
d’une copie à l’autre. Il est donc aisé, une fois le virus identifié, de lui
prélever une chaîne d’octets, et de parcourir toute la mémoire à la recherche
d’une chaîne similaire. C’est le principe du scanning. Pour que cette chaîne
soit représentative du virus, et que l’on minimise le risque de trouver un
programme sain comportant une chaîne identique, on prélève cette chaîne dans
une partie caractéristique du virus, par exemple son algorithme d’infection, et
on la prend d’une longueur maximale. De plus, l’antivirus effectue des tests
complémentaires lorsque cette chaîne est retrouvée en mémoire, pour éviter
toute incertitude.
Un logiciel antivirus utilisant le scanning
contiens une base de données de chaînes extraites de virus, associées à des
procédures spécifiques pour identifier précisément et éliminer chaque virus
connu. Un tel logiciel a l’avantage d’être simple à utiliser et de fournir des
informations claires, du type ‘Le fichier Truc.HOT a été infecté par le virus
Un_Tel’. Il est donc très apprécié par la majorité non spécialiste des
utilisateurs d’ordinateurs. Son inconvénient est de nécessiter de constantes
mises à jour de sa base de donnée pour s’adapter à l’apparition de virus
nouveaux. De plus, il est totalement démuni face à un virus polymorphe.
3.2.
Les moniteurs de
comportement
C’est un programme qui surveille le système à
la recherche d’une action trahissant la présence d’un virus. Cette action peut
être par exemple une demande d’ouverture en écriture d’un fichier programme ou
une tentative d’écriture sur un secteur de démarrage. Sur un PC, un tel
logiciel se présente sous la forme d’un programme résidant qui détourne
quelques interruptions du système généralement employées par les virus, pour
donner l’alerte lorsqu’elles seront employées. Il existe également des
moniteurs matériels, effectuant un contrôle au niveau du hardware de façon à
interdire physiquement un accès douteux à certaines zones mémoires. Un tel
moniteur offre une sécurité absolue, mais doit être intégré à la structure
matérielle de l’ordinateur.
Ce genre d’antivirus est plus sûr que le
scanner, car il est susceptible de détecter un virus inconnu, mais est
difficile d’emploi pour un utilisateur peu averti, car il n’identifie pas
formellement un virus et ne peu donc l’effacer. C’est à l’utilisateur de gérer
lui-même la présence du virus.
3.3.
Le contrôleur d’intégrité
Schématiquement, un contrôleur d’intégrité va
construire un fichier contenant les noms de tous les fichiers présents sur le
disque, ainsi que quelques unes de leurs caractéristiques (date de dernière
modification, taille, code de redondance cyclique…). Ils surveillent
régulièrement ces fichiers, et alerteront l’utilisateur dès que les paramètres
de l’un d’eux auront été modifiés. Il effectue alors des tests sur le fichier
suspect, pour déterminer si il est infecté ou si il s’agit d’une manipulation
de l’utilisateur. L’inconvénient est qu’un programme déjà infecté lors de son
marquage par le moniteur de comportement ne sera pas considéré comme suspect
par la suite.
Aucun commentaire:
Enregistrer un commentaire