|
Auteur | Sujet : Le Meilleur Antivirus au Monde... Partie 1 |
---|
Profil supprimé | Posté le 06-06-2018 à 18:51:25 Reprise du message précédent : |
Publicité | Posté le 06-06-2018 à 18:51:25 |
Ayeto | Licence à vie ? |
nnwldx | 6 mois |
xjoker en observation | Quelqu'un a un retour sur la Bitdefender Box, pour protéger l'intégralité des appareils connectés du foye ?
|
Space Profil: Maux des rateurs |
--------------- Ma cinémathèque |
xjoker en observation |
|
Space Profil: Maux des rateurs | oki ^^
--------------- Ma cinémathèque |
3615Buck 53 ans de Belgitude... |
--------------- Mon œuvre ~ Mon drame ~ Vos gueules |
Profil supprimé | Posté le 13-06-2018 à 07:50:09
|
Publicité | Posté le 13-06-2018 à 07:50:09 |
olakeen |
Message édité par olakeen le 13-06-2018 à 17:10:10 |
Space Profil: Maux des rateurs | Je suis en train de tester Kasperksy Free, il y a un truc que je pige pas trop...
--------------- Ma cinémathèque |
nnwldx | probablement que c'est des virus polymorphes qui ne sont pas répertoriés avec la signature. |
Axel57000 | Hello !
|
xjoker en observation |
|
Axel57000 |
|
Tolrahc | Le meilleur AV au monde reste l'utilisateur.
|
nebulios | Merci Robert. Roger, tu peux en remettre un autre pour Robert ? Il a le gosier sec là, après avoir fini sa deuxième bouteille.
|
nnwldx |
|
Profil supprimé | Posté le 21-06-2018 à 22:51:21
Jette un oeil ici https://forum.malekal.com/viewtopic.php?t=60381 Cela n'a, effectivement, comme le dit Xjoker rien à voir avec un AV, surtout aux vues de la finalité de ce module, mais à la rigueur on peut dire que cela entre dans un contexte plus global de sécurité dont l'AV n'est qu'une brique avec une fonction bien précise En complément : https://www.malekal.com/chameleon-e [...] ie-privee/ Message cité 1 fois Message édité par Profil supprimé le 21-06-2018 à 22:53:21 |
Tolrahc |
|
leroimerlinbis |
Un site normalement sûr peut se faire pirater et tu peux être infecté en téléchargeant un programme sur le site de l'éditeur. C'est déjà arrivé plusieurs fois, comme classic shell et CCleaner assez récemment. Tout cela a été répété au moins 10 fois sur ce post |
Profil supprimé | Posté le 22-06-2018 à 08:01:22
Je plussoie la réponse de leroimerlinbis et j'ajouterai que "l'utilisateur averti" ne concerne qu'une faible minorité de la population. Ensuite par expérience, même l"utilisateur averti qui possède des failles comportementales peut se faire avoir (appât du gain, ego surdimensionné, etc) Si tu sais de quoi tu parles concernant le contournement d'un AV je te conseille de le soumettre, surtout si ton action se fait de l'exterieur (déja vu il y a quelques années surtout avec AVIRA qui a rectifié depuis avec une autoprotection) VirusTotal ne fonctionne qu'avec des bases de données de signatures . Donc cela exclu le comportemental. Au résultat il peut détecter un faux positif, que l'AV installé sur une UC ne détectera pas en tant que tel, ou passera à côté de la dernière infection 0 days (classe différente par ex) Message cité 2 fois Message édité par Profil supprimé le 22-06-2018 à 08:17:00 |
xjoker en observation |
|
Tolrahc |
|
Profil supprimé | Posté le 22-06-2018 à 22:04:55
Message cité 1 fois Message édité par Profil supprimé le 22-06-2018 à 22:26:59 |
Profil supprimé | Posté le 22-06-2018 à 22:46:11
La majorité des vagues de Ransomware viennent par nos messageries et souvent par pièces jointes (plus rarement par des exploits) Pour lecture : https://www.malekal.com/ransomwares/ https://www.malekal.com/proteger-scripts-malicieux/ où tu aboutiras après lecture ici https://telecharger.malekal.com/download/marmiton/ Sinon concernant la dernière mouture de Gancrab : Vu qu'il vient avec un VBS downloader (via un message) Marmiton te protègera contrairement à https://twitter.com/demonslay335/st [...] 4385924096 Message cité 1 fois Message édité par Profil supprimé le 22-06-2018 à 22:55:03 |
Axel57000 |
|
Tolrahc | Je te cite la FAQ de VT qui te prouve que tu as tort quand tu affirmes que VT ne se base QUE sur des signatures. D'ailleurs je ne sais même pas pourquoi tu t'embarques dans la question des FP, ça concerne aussi un AV local et c'est même beaucoup mieux débunké sur VT que sur ton AV local (+ de retours utilisateurs sur la réputation du fichier) Heureusement qu'il n’exécute pas le fichier Il l'émule et le fait bien mieux que ton AV local qui abandonnera plus vite. Non ce n'est bien sûr pas infaillible ni même la panacée, mais ça reste toujours mieux que ce fait ton AV local, quel qu'il soit. Si tu es vulnérable, tu te feras infecté surtout s'il n'y a pas de dropper immédiat et que tout se passe dans la mémoire. (D'où l'importance de faire des MAJ sur les programmes tiers, un AV ne compense pas les failles) Je sais tout ça, mais c'est complétement HS du point de vue le l'utilisateur final et ça n'apporte rien à la discussion. Seul le créateur de malware est concerné par ceci et utilise de toutes façons d'autres sites, identiques à VT, mais sans envoi d’échantillons aux firmes. Message cité 1 fois Message édité par Tolrahc le 23-06-2018 à 05:13:58 |
Profil supprimé | Posté le 23-06-2018 à 20:39:23
Donc en fait tu me reproches d'avoir dans un post initial où j'ai répondu de façon concise et simplifiée en 3 lignes de ne pas avoir développé toutes les protections de VT ? (d'autant plus que la protection principale est basée sur les signatures) Tu peux me faire alors le même reproche du fait du terme "Virus", que j'ai employé qui ne correspond pas à la réaliité, mais que j'utilise parce que compris par tout le monde ? (je devrais détailler aussi le pourquoi de l'usage de ce terme ?)
Parce que l'analyse heuristique est secondaire, en perte de vitesse (déja dit le pourquoi dans un autre message) et c'est normal, car l’analyse heuristique repose sur la comparaison d'un fichier suspect avec les autres "virus" déjà connus
L'analyse dans la sandbox de VT "l'est uniquement pour les échantillons de codes dont aucune version précédente n'a jamais été vue par VirusTotal auparavant" (et pas de plus de 8 Mo de taille pour l'échantillon) L 'AV local suivant les réglages peut également avoir des méthodes plus agressives et ce pour une simple raison : Il est réglé par défaut pour ne pas ennuyer l'utilisateur avec des alertes toutes les X minutes, et que celui ci ne sache pas quoi faire ou encombre la hotline ou s'épanche négativement sur le net ce qui nuirait à l'image de l'éditeur En parlant de Trend je cite "Loïc Guézo, stratégiste cybersécurité chez Trend Micro, souligne d’ailleurs les limites de l’exercice : « l’implémentation chez VirusTotal est le plus souvent faire sur des sous-systèmes de détection » qui ne sont pas nécessairement représentatifs des résultats que fournirait l’antivirus en conditions réelles" Sinon (mais on le voit avec ce qui est analysé sur VT) ces dernières années, on s'aperçoit que les gens (parce qu'ils ne savent pas) font surtout de l'analyse de dropper, ce qui ne sert à rien car théoriquement, car si il est bien fait il sera clean à l'analyse (changement d'enveloppe etc et surtout si téléchargé avec un crack le WE quand les labos des AV sont fermés) sinon on aura du classique Trojan-Downloader (par ex) Si l'analyse devait être efficace, il devrait y avoir une exécution du dropper (sandbox) pour voir quel sont les fichiers téléchargés ensuite Ces dropper (maintenant rootkités depuis quelques années) sont généralement "hardcodés" (les URL vers les téléchargements sont figées dans le code du downloader) et même un cryptage du code doit être, à un moment donné, traduit en un simple lien de type HTTP, HTTPS ou FTP vers une ressource.
Il faut se rappeler le petit scandale il y a quelques années que kaspersky avait mis en avant (ciblant Microsoft, Avast, AVG, ...) "Timur Biyachuev, directeur de recherche antimalware chez Kaspersky « Le problème était qu’une entreprise pouvait payer pour obtenir des données de la part de VirusTotal, par exemple des informations sur les malwares détectés par Kaspersky Lab, sans avoir à donner des informations sur leurs propres détections en contrepartie. Ce qui signifiait que certains étaient capables de profiter des technologies et du travail des experts d’autres entreprises. » Des acteurs comme Kaspersky sont depuis longtemps entrés en guerre contre ce type de piratage des signatures. " La mise à jour des listes de signatures n’est donc ainsi pas instantanée dès découverte dans leurs labos, de la détection par les éditeurs Pour la petite histoire, Kaspersky avait été accusé par la suite d'avoir fabriqué des faux positifs sur des programmes connus pour leurrer ceux qui s' accaparaient leur travail
Tu connais l'histoire de cette détection ? L'échantillon a été soumis le 13 avril 2016 https://www.virustotal.com/en/file/ [...] /analysis/ Trend micro était tout seul au début. Il a fallu attendre un mois plus tard pour que le ratio soit de 35/56 (ils s'y sont mis presque tous en même temps)
https://www.virustotal.com/en/file/ [...] /analysis/ Soumis le 16 mai Là c'est juste pour mettre en avant lorsque l'échantillon est soumis soit un week end soit hors des heures ouvrées https://www.virustotal.com/en/file/ [...] /analysis/ Vu que 24h après on avait juste un ratio de 5/57 on peut s'interroger sur les capacités de protection des antivirus contre les nouvelles variantes lorsqu’elles apparaissant hors heures ouvrées.
Donc mode agressif ou pas, tout dépend du bon vouloir des éditeurs de fournir une liste de détection à jour (voir pb évoqué avec kaspersky)
Merci de me rappeler le fonctionnement d'une sandbox
L'AV est là en temps que protection en entrée Si l'infection est entrée il est déjà trop tard Donc Je ne vois pas trop le but de ton déroulé sur le monitoring des zones mémoires etc Le boulot principal de l'AV se fait AVANT
Si tu relis je disais dans la première ligne du post " (où tout n'est pas dit en plus) " J'ai juste complété en fin de message, parce que c'est secondaire, et que je voulais juste donner un exemple Message édité par Profil supprimé le 23-06-2018 à 20:42:00 |
Profil supprimé | Posté le 24-06-2018 à 09:56:38
|
Tolrahc | Je veux bien qu'on se trompe, mais persister dans l'erreur alors que je viens de t'apporter la preuve du contraire c'est juste de la mauvaise foi. Pour info, voici l'onglet "Behavior" (donc "comportement" ) d'un fichier suspect que je viens d'analyser sur VT : Et ce fichier n'est détecté que par 4 AV sur 68 comme pourriciel probable ! Mais je peux te garantir que c'est bien un pourriciel qui, à l'instar des "optimiseurs windows" et autres "correcteurs d'erreurs" que l'utilisateur lambda va télécharger via une pub angoissante, va à un moment ou à un autre télécharger lui-même une saloperie inutile qui te fera croire que ton PC est "lent" ou contient des erreurs et qu'il y a un correctif (payant) de disponible à télécharger urgemment : La technique classique du scareware. Message édité par Tolrahc le 24-06-2018 à 11:59:52 |
Tolrahc |
|
Profil supprimé | Posté le 24-06-2018 à 12:45:07
|
nnwldx | Vidéo "cracker Stuxnet" de Ralph Langner lors d'un TedX
|
3615Buck 53 ans de Belgitude... | Salut tout le monde.
Message cité 1 fois Message édité par 3615Buck le 01-07-2018 à 14:01:35 --------------- Mon œuvre ~ Mon drame ~ Vos gueules |
Publicité | Posté le |