Ubuntu-fr

vinc1001888

Un anti-virus à taux de succès très fort (pour Windows bien sur)

[Post écrit pour Windows, meme si je tourne sur Ubuntu]

Salut tlm, voilà qu'une nouvelle idée à germé dans ma tete (c'est peut-être aussi une énorme connerie)

On dit géneralement que les AV pour Windows c'est de la m**de et d'ailleurs c'est plutot vrai, voilà pourquoi j'ai essayé de réflechir au problème afin de créer un antivirus dont le taux de succès avoisinerait les 100%...

Le principal problème des virus sous Windows c'est leur détection, une fois qu'on les a trouvé->google->methode pour l'exterminer...
J'ai donc programmé un petit executable en C (utilisant les API Windows) capable de lister tous les fichiers d'un disque dur de type executable (.bat/com/exe/dll/ocx/pif/cmd/script en tous genres...) et à chaque fois qu'un nouveau fichier apparait, il apparaitera comme suspect dans la fenetre de scan. De même mon programme contrôle si des fichiers ont ete modifiés grâce aux checks sum md5...

Le seul problème, c'est que n'importe quel executable (sain ou non) apparait dans la fenetre, mais ce pb s'arrete là puisqu'un petit coup de www.google.fr ou un peu de logique me dit si le fichier est bon ou mauvais. De plus on installe pas des programme tous les jour...

2 cas -> le fichier est sain ; je l'integre dans ma liste de fichier sains pour ne plus qu'il soit detecté
         -> le fichier est viral ; hop dég*ge

Une amélioration possible serait j'ajouter à cela un controle sur les processus (processus nouveau = suspect) et aussi un controle du MBR via check sum md5 + un controle de tous les moyens offerts à un virus pour qu'il s'execute au demmarage (Base de Reg / win.ini / boot.ini)...

Enfin pour l'améliorer encore, on pourrait reprendre le mm principe mais cette fois ci pour le listage des .dll utilisé par les .exe

Qu'en pensez vous : le principe est simple non ? et chez moi il s'avere très efficace sur ma partition XP :D

pitou

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Si tu veux un beta testeur, je suis ton homme. Sinon je trouve ça drôle le libre offrant des soluces à win.
Petit bémol, je trouve ça bizarre que personne n'y est pensé avant, y a pas un prob dans le truc (même si ça à l'air pas mal). Je t'avouerais que ça me tente de voir (surmon pc de test ;-)        ).
Au fait, un celeron 900Mhz, 384 Ram, et DD 40, je peut y mettre XP. SInon si tu veux je peux aussi test ton anti-virus sous win 95 et 98.

ps : Mes pc sont sur ubuntu (je suis juste un testeur fou).

---

Gnu/Linux, la joie dans la persévérance.
Seize the day.

Link31

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Impossible.

Crois-tu que les virus ne modifient que les exécutables ? Un simple fichier wmf infecté peut profiter d'une erreur de callback dans le DLL censé le lire pour appeler n'importe quelle fonction. Et ce n'est qu'un exemple.

Quant aux exécutables des virus eux-mêmes, lorsque l'utilisateur clique sur ouvrir dans outlook Express, le programme est immédiatement exécuté. Ton antivirus ne peut pas avoir le temps de le détecter. Et les exécutables joints à des mails sont stockés directement dedans, et n'en sortent que lorsqu'on les démarre.

vinc1001888

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Le probleme de mon AV c'est qu'il ne bloque pas les virus, il faut attendre de se faire infecter pour que ça fonctionne. En fait il n'as pour but que de servir de complement à un AV commercial qui lui detecte (est censé detecter) immediatement les virus...

Mais aujourd'hui la plupart des virus contourne les av alors la dernier solution c'est l'eradication manuel facilité par ce logiciel

Link31

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

OK si c'est un complément, ça paraît plus efficace.

Je ferai aussi une autre remarque au sujet des processus : certains virus sont invisibles pour les APIs Windows servant à lister les processus. Sans compter que Windows cache certains processus système (ou WGA, cela reste à voir... ), et qu'il est tout à fait possible pour un virus d'obtenir ce statut "caché" de la même façon.

vinc1001888

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Exact, tu as raison.

Quand tu parle des fichiers .wma et des erreur de callback sans les dll, tu parles des virus exploitant des failles Windows comme par exemple celui qui utilisait les images .jpeg piégées (provocation de buffer overflow) ?

En general ce genre de virus n'aspire qu'a une chose après avoir exploiter une faille à savoir s'installer de manière permanente sur le disque dur, et alors là, il pourra être detecté car il sera obligé de créer/modifier des fichiers de façon à ce qu'il s'execute à chaque démmarage de la machine.

J'e pense que pour le windowsien classique, ce genre de virus (ultra sophistiqué) est assez rare, le plus souvent c'est un sale spyware à la con.

Link31

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Quand tu parle des fichiers .wma et des erreur de callback sans les dll, tu parles des virus exploitant des failles Windows comme par exemple celui qui utilisait les images .jpeg piégées (provocation de buffer overflow) ?

Oui (je parlais des fichiers clipart Windows MetaFile).

Encore une chose, comment vas-tu reconnaître les fichiers exécutables ? Ils n'ont pas forcément une extension en .exe même si ils peuvent la prendre au moment où ils doivent être exécutés... Je crois que scanner tous les fichiers est une obligation.

Toute initiative pouvant boucher quelques trous de la passoire Windows est bienvenue de toute façon.

Mais le meilleur antivirus est encore Linux

vinc1001888

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Quand tu parle des fichiers .wma et des erreur de callback sans les dll, tu parles des virus exploitant des failles Windows comme par exemple celui qui utilisait les images .jpeg piégées (provocation de buffer overflow) ?

Oui (je parlais des fichiers clipart Windows MetaFile).

Encore une chose, comment vas-tu reconnaître les fichiers exécutables ? Ils n'ont pas forcément une extension en .exe même si ils peuvent la prendre au moment où ils doivent être exécutés... Je crois que scanner tous les fichiers est une obligation.

Toute initiative pouvant boucher quelques trous de la passoire Windows est bienvenue de toute façon.

Mais le meilleur antivirus est encore Linux

Ouep, t'as raison, mais scanner tous les fichiers, c'est infesable il y en as trop qui apparaissent. Comment arrivent t-ils à changer leurs extension, il ne peuvent pas quand ils sont executés et chargés en mémoire non ?

kritchek

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Il me semble que Windows XP fait déjà ce genre de boulot pour les fichiers systèmes. Si tu effaces un fichier système, celui-ci est remplacé tout de suite. Même chose si tu écrases un fichier avec un autre de même nom.

A vérifier quand même.

---

Le blog convergences

bergi

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

c'est exact windows integre deja ce genre de protection.
D'ailleur les virus aussi, vous tuer le processus, effacer le fichier et il reapparait proteger par un autre processus qui detecte sa dispariton...

Dernière modification par bergi (Le 10/07/2006, à 23:08)

Vinc1001888

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Les processus qui remplace les fichiers systeme Windows doivent certainement tourner à un niveau assez (proche du ring0 du kernel), et comme ils ont tous les droits....

Bob123

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

ça tombe bien regarde qui arrive : les nouveau virus/logiciel DRM : http://www.f-secure.com/v-descs/xcp_drm.shtml , le problème c'est qu'il hooke l'acces aux processus/fichier/base de registre

Un système d'exploitation pour les gouverner tous. Un système d'exploitation pour les amener tous, et dans les ténèbres les lier

Link31

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

c'est exact windows integre deja ce genre de protection.
D'ailleur les virus aussi, vous tuer le processus, effacer le fichier et il reapparait proteger par un autre processus qui detecte sa dispariton...

Oui, c'est vrai... mais c'est très facile à contourner, il suffit de modifier toutes les copies de sauvegarde du fichier (présentes dans C:\i386 il me semble).

ça tombe bien regarde qui arrive : les nouveau virus/logiciel DRM : http://www.f-secure.com/v-descs/xcp_drm.shtml , le problème c'est qu'il hooke l'acces aux processus/fichier/base de registre

Bah voyons, il modifie carrément le noyau Windows ! (ntoskrnl.exe)
Vous imaginez un spyware qui s'amuserait à modifier le noyau linux Enfin il se ferait éliminer à la prochaine mise à jour

newrikk

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Salut à toi, ce genre d'antivirus existe déjà sous windows si je ne m'abuse :
viguard  :http://www.viguard.com/fr/intro_fr.php

ou bien encore

prevx :http://www.prevx.com/

Ces logiciels marchent de la même façon que ce que tu codes il me semble, c'est à dire qu'à l'install ils répertorient tous les fichiers existants, puis signalent toute modification d'un fichier ou action bizarre.
Belle initiative en tous cas.

teolemon

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Si tu veux , il existe clamwin.com, un antivirus libre.
Je suis sur qu'ils seraient ravis de toute aide possible.
Perso je me suis uniquement occupé de traduire des manuels, mais je sais qu'ils ont cruellement besoin de codeurs.

---

I'm a bun, but you bun too!
Aidez-nous à traduire Ubuntu Trusty Tahr (doc, applis, descriptions d'applis, pages web) en français  >> http://doc.ubuntu-fr.org/ubuntu-l10n-fr

Eastchild

Re : Un anti-virus à taux de succès très fort (pour Windows bien sur)

Bon j'ai pas tout lu les posts des users mais pour info, ce que veux faire vinc1001888 existe déjà et l'AV se nomme Viguard

---

Testeur de Ubuntu sur tout ce qui tombe sous la main ^^