En raison de la menace croissante du virus et autres programmes malveillants, presque tous les ordinateurs d'aujourd'hui est livré avec un logiciel pré-installé d'antivirus sur elle. En fait, un antivirus est devenu l'un des plus essentiels logiciel pour chaque ordinateur. Même si chacun de nous avoir un logiciel antivirus installé sur nos ordinateurs, seuls quelques-uns vraiment la peine de comprendre comment cela fonctionne réellement! Eh bien si vous êtes parmi les quelques personnes qui serait vraiment la peine de comprendre comment un antivirus fonctionne, alors cet article est pour vous.
Comment Antivirus Travaillent :
Un logiciel antivirus utilise généralement une variété de stratégies pour détecter et supprimer les virus, vers et autres logiciels malveillants programmes. Les éléments suivants sont les deux méthodes d'identification les plus couramment employées:
1. Signature basée dectection (approche Dictionnaire)
C'est la méthode la plus couramment employée qui implique la recherche de modèles connus de virus dans un fichier donné. Chaque logiciel antivirus aura un dictionnaire de codes malveillants échantillon appelé signatures dans sa base de données. Chaque fois qu'un dossier est examiné, l'antivirus se réfère au dictionnaire de codes présents dans l'échantillon sa base de données et compare la même chose avec le fichier actuel. Si le morceau de code dans le fichier correspond à l'un dans son Dictionnaire, puis il est marqué et les mesures qui s'imposent soient prises immédiatement afin d'empêcher le virus de se répliquer encore. L'antivirus peut choisir de réparer le fichier, mettre en quarantaine ou le supprimer en permanence sur ce risque potentiel.
Comme de nouveaux virus et malwares sont créés et publiés chaque jour, cette méthode de détection ne peut pas se défendre contre de nouveaux logiciels malveillants à moins que leurs échantillons sont prélevés et les signatures sont libérés par la société de logiciels antivirus. Certaines entreprises peuvent également encourager les utilisateurs de télécharger de nouveaux virus ou variantes, de sorte que le virus peut être analysée et la signature peut être ajouté au dictionnaire.
De détection basée sur la signature peut être très efficace, mais nécessite fréquentes mises à jour du dictionnaire de signatures de virus. Ainsi, les utilisateurs doivent mettre à jour leur logiciel antivirus sur une base régulière afin de se défendre contre les nouvelles menaces qui sont publiées tous les jours.
2. Heuristique basée sur la détection (approche comportements suspects)
Heuristique basée sur la détection consiste à identifier des comportements suspects d'un programme donné qui pourrait indiquer un risque potentiel. Cette approche est utilisée par certains des logiciels antivirus sophistiquées pour identifier de nouveaux logiciels malveillants et des variantes de logiciels malveillants connus. Contrairement à l'approche basée sur la signature, voici l'antivirus ne cherche pas à identifier les virus connus, mais surveille plutôt que le comportement de tous les programmes.
Par exemple, les comportements malveillants comme un programme tente d'écrire des données à un programme exécutable est marqué et l'utilisateur est alerté sur cette action. Cette méthode de détection donne un niveau de sécurité supplémentaire contre les menaces non identifiées.
Emulation: C'est un autre type d'heuristique basée sur l'approche, où un programme donné est exécuté dans un environnement virtuel et les actions effectuées par ce dernier sont consignés. Basé sur les actions enregistrées, le logiciel antivirus peut déterminer si le programme est malveillant ou non et d'effectuer les actions nécessaires afin de nettoyer l'infection.
La plupart des logiciels antivirus commerciaux utilisent une combinaison d'approches à la fois basée sur les signatures et heuristiques à base de lutter contre les logiciels malveillants.
Sujets de préoccupation
Menaces zero-day: Un jour zéro (zero-hour) menace ou d'attaque est l'endroit où un malware tente d'exploiter les vulnérabilités des applications informatiques qui sont encore non identifiés par les éditeurs de logiciels antivirus. Ces attaques sont utilisés pour causer des dommages à l'ordinateur avant même qu'elles sont identifiées. Depuis les correctifs ne sont pas encore libérés pour ce type de nouvelles menaces, ils peuvent gérer facilement contourner les logiciels antivirus et effectuer des actions malveillantes. Cependant la plupart des menaces sont identifiées après une journée ou deux de sa sortie, mais les dégâts causés par eux avant l'identification est assez inévitable.
Mises à jour quotidiennes: Comme de nouveaux virus et les menaces sont libérés tous les jours, il est le plus essentiel de mettre à jour le logiciel antivirus de manière à conserver les définitions de virus à jour. La plupart des logiciels auront une fonction d'auto-mise à jour afin que les définitions de virus sont mis à jour chaque fois que l'ordinateur est connecté à l'Internet.
Efficacité: Même si un logiciel antivirus peut attraper presque tous les logiciels malveillants, il n'est pas encore 100% infaillible contre toutes sortes de menaces. Comme expliqué précédemment, une menace zero-day peut facilement contourner le bouclier protecteur de l'antivirus. Aussi les auteurs de virus ont tenté de devancer par l'écriture "oligomorphic», «polymorphe» et, plus récemment, «métamorphique» les codes de virus, ce qui permet de chiffrer les parties d'eux-mêmes ou autrement se modifient comme une méthode de déguisement, afin de ne pas match de signatures de virus dans le dictionnaire.
Ainsi l'éducation des utilisateurs est aussi importante que les logiciels antivirus, les utilisateurs doivent être formés à la pratique de bonnes habitudes de surf comme le téléchargement de fichiers uniquement à partir des sites de confiance et non aveuglément l'exécution d'un programme qui est inconnu ou obtenu à partir d'une source non fiable. J'espère que cet article vous aidera à comprendre le fonctionnement d'un logiciel antivirus.
0 commentaires:
Enregistrer un commentaire