Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

On-execution

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

L'expression "On-execution" est utilisée pour désigner le comportement d'un logiciel informatique, généralement de sécurité, tels les antivirus, qui va crocheter une tentative d'exécution d'un objet montant en mémoire, pour l'analyser avant d'en autoriser ou d'en interdire l'exécution.

On-executionOn-executionOn-execution

" On-execution ", c'est du " On-access " intelligent.

L'expression " On-execution " est utilisée pour désigner l'un des comportements des outils de sécurité (antivirus, anti-spywares, anti-malwares). Il s'agit de la capacité qu'a l'outil de sécurité informatique d'analyser un objet exécutable " à la volée " (" en temps réel ", " in real time ", " on the fly ") au moment où cet objet monte en mémoire en tant que code exécutable.

L'analyse " On-execution " est un comportement plus pointu, plus intelligent, et moins consommateur de temps que l'analyse " On-access ", ce qui évite complètement les situations de blocage mutuel entre plusieurs antivirus / anti-malwares qui tenteraient simultanément un accès exclusif à un fichier. L'analyse " On-execution " n'a lieu que sur du code (et non pas sur tous les fichiers, y compris ceux qui n'ont rien à voir avec du code exécutable).

  • Les antivirus et antimalwares analysent le code avec des technologies Réactive (à base de signatures) et/ou Proactive (à base d'analyses comportementales, dites heuristiques, dans une machine virtuelle).

Ce comportement est beaucoup plus rapide (beaucoup moins consommateur de temps) que l'analyse " On-access ". Il s'interpose automatiquement entre une montée en mémoire d'un objet et se demande d'exécution, quelque soit le demandeur (système d'exploitation, navigateur Internet, courrielleur, un autre programme, etc. ...) et l'exécution proprement dite du code.

L'objet peut donc se camoufler sous toutes les formes qu'il veut dans un ordinateur, il sera bien obligé de se dévoiler en tant qu'objet tentant de s'exécuter, à un moment donné, et c'est là que les comportements " On-execution " interviennent.

Le comportement " On-execution " est un comportement en haute priorité et la tâche qui l'assure ne "tourne" pas du tout "en permanence et en arrière plan", ni même au premier plan, mais est inactive (dans un état d'attente) et est sollicitée en temps réel "sur interruption" : les couches (les APIs) de Windows d'appels aux objets (fichiers...) sont crochetées (modifiées par implantation d'un "hook") lors de l'installation d'un antivirus etc. ... et les demandes d'accès, par appel aux APIs, sont détournées - les objets de ces appels à s'exécuter sont soumis aux analyses instantanées et les réponses sont passées aux APIs, avec autorisation ou refus d'obtempérer, et le module " On-execution " retourne dans son état d'attente. L'utilisateur est alerté, généralement par une fenêtre de type "pop-up" lui donnant plus ou moins d'informations sur la raison du rejet - il peut être demandé à l'utilisateur quelle décision prendre (exécuter tout de même, mettre en zone de quarantaine pour analyse approfondie ultérieure, détruire l'objet s'il s'agit d'un fichier local etc. ...).

Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?Les tests comparatifs "On-demand" des antivirus sont-ils significatifs ?

Beaucoup de comparatifs antivirus sont conduits régulièrement par d'importants sites ou d'importantes revues. Ces tests font immédiatement couler beaucoup d'encre et drainent énormément de visiteurs sur ces sites ou d'acheteurs de ces revues. Mais, mis à part ces capacités à faire parler d'eux, ces test, conduits avec des procédures " On-demand ", ont-ils le moindre intérêt ? Peut-on leur accorder la moindre crédibilité ?
Tests et comparatifs des antivirus

RéférencesRéférences" Références "


RessourcesRessources" Ressources "

Les tests comparatifs "On-demand" sont-ils significatifs ?
On-access
On-demand
Proactive Technology (Détection proactive)
Reactive Technology (Détection réactive)
Crédibilité des tests comparatifs des antivirus
Avfs: An On-Access Anti-Virus File System - (CS Department, Stony Brook University - Août 2004)
Archives Assiste.com : le « Rosenthal's Antivirus Test »

 Requêtes similairesRequêtes similaires" Requêtes similaires "