Alertes failles
de sécurité et
de mises à jour
Contribuer - Questionner
Faire un lien
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet
 

Assiste.com

Recherche de motifs (patterns) par les antivirus

Recherche de motifs (patterns) par les antivirus : recherche intelligente de chaînes de caractères dans un code signant/identifiant une malveillance (virus…).

cr  03.08.2022      r+  20.01.2024      r-  10.03.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Antivirus search for patterns

Sommaire (montrer / masquer) 

Motif - Motif (identifier signature) Motif (identifier signature) - 01 Motif (identifier signature) top

Un « motif » (pattern) est quelque chose qui distingue la chose dans laquelle il est contenu, qui lui donne une typologie, et est répétitif (se retrouve plusieurs fois, dans plusieurs objets qui deviennent « de même nature » [fabriqués sur un « modèle » similaire]). On est dans le monde de la reconnaissance de formes.

Il y a des « motifs » architecturaux qui distinguent le gothique du roman. En programmation informatique, un « motif » (pattern - modèle) est une séquence d'instructions typique d'une action ou d'une manière d'écrire d'un programmeur (la « signature » d'un programmeur comme on identifie un peintre à son coup de pinceau).

Les antivirus et autres outils disposant d'un analyseur de signatures (scanner de signatures) comportent, dans leurs bases de données, deux types de signatures :

  1. Les condensats - (hashcodes) qui identifient la totalité du contenu d'un fichier.

  2. Les « motifs » (patterns - modèles) déjà rencontrés, très particuliers et typiques, qui permettent d'émettre un doute plus ou moins accentué (un facteur de risque).

Si les condensats - (hashcodes) sont, par leur nature, publics, les « motifs » sont un secret industriel des éditeurs (d'antivirus, etc.).

Lorsqu'un générateur de virus fabrique des « clones singuliers », ou avec le Polymorphisme - (Virus polymorphe), l'usage de condensats - (hashcodes) est sans effet. Seule la reconnaissance de « modèles de codes » permet, peut-être, de déceler que l'objet analysé appartient à une famille d'objets reconnaissables à certains « motifs » qui les signent.

La découverte de « motifs » donne seulement des pistes à l'antivirus. Après, l'antivirus doit s'assurer de l'existence réelle d'une forme virale, afin d'éliminer le risque d'un « faux positif », en mettant en œuvre une machine virtuelle (utilisée en sandbox) pour observer ce que fait réellement l'objet lorsqu'il est exécuté.

Le logiciel de reconnaissance des types de fichiers, TrID, fonctionne entièrement sur l'identification de « motifs » (pattern).

Ne pas confondre « motif » (pattern) et motivation (au sens de justification). Un « motif » (signe distinctif) n'est pas un « motif » (une raison).

- -

Ailleurs dans Assiste et sur le Web Ailleurs dans Assiste et sur le Web Ailleurs dans Assiste et sur le Web Antivirus search for patterns

  1. #Motif#


Motif

Motif - Motif (identifier signature)