Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
« On-execution », c'est du « On-access » intelligent.
L'expression « On-execution » est utilisée pour désigner l'un des comportements des outils de sécurité (antivirus, anti-spywares, anti-malwares). Il s'agit de la capacité qu'a l'outil de sécurité informatique d'analyser un objet exécutable « à la volée » (« en temps réel », « in real time », « on the fly ») au moment où cet objet monte en mémoire en tant que code exécutable.
L'analyse « On-execution » est un comportement plus pointu, plus intelligent, et moins consommateur de temps que l'analyse « On-access », ce qui évite complètement les situations de blocages mutuels entre plusieurs antivirus / anti-malwares qui tenteraient simultanément un accès exclusif à un fichier. L'analyse « On-execution » n'a lieu que sur du code (et non pas sur tous les fichiers, y compris ceux qui n'ont rien à voir avec du code exécutable).
Ce comportement est beaucoup plus rapide (beaucoup moins consommateur de temps) que l'analyse « On-access ». Il s'interpose automatiquement entre une montée en mémoire du code d'un objet et se demande d'exécution, quelque soit le demandeur (système d'exploitation, navigateur Internet, courrielleur, un autre programme, etc. ...) et l'exécution proprement dite du code.
L'objet peut donc se camoufler sous toutes les formes qu'il veut dans un ordinateur, il sera bien obligé de se dévoiler (Déobfuscation) en tant qu'objet tentant de s'exécuter, à un moment donné, et c'est là que les comportements « On-execution » interviennent.
Le comportement « On-execution » est un comportement qui libère complètement l'application de sécurité du problème de demande d'accès exclusif, avec blocage mutuel interdisant l'usage simultané de plusieurs antivirus, à cause de la technique employée : crochetage (hooking) (hook, hooker). En mode « On-execution », ce n'est pas l'objet sollicité qui est bloqué, c'est l'exécution du processus de l'antivirus, anti-spywares, anti-malwares, etc. qui dispose de tranches de temps (time-slicing) du processeur dans le cadre du :
Tant qu'il n'y a pas de sollicitation de montée en mémoire d'un code, pour exécution, l'application de sécurité est, en ce domaine, en état d'attente.
Si le code est malveillant (ce qu'il tente de faire dans la sandbox est malveillant), l'utilisateur est alerté, généralement par une fenêtre de type « pop-up » lui donnant plus ou moins d'informations sur la raison du rejet. Le processus malveillant n'aura pas l'autorisation de s'exécuter à cause de ce qu'il tente de faire, et non pas à cause d'une signature qui ne serait probablement jamais trouvée compte tenu des technologies de Brouillage (« Obfuscation »).
Les analyses « On-demand » seules ne permettent pas de détecter si un code (un programme ou un script, etc.) a déjà été exécuté auparavant. Ce type d'analyse fait un état des lieux et signale la présence de menaces anciennes, qui ont probablement déjà été ouvertes (exécutées...) et ont, sans doute, déjà accompli leur oeuvre obscure. Typiquement, l'antivirus « On-demand » gratuit et open-source du monde Linux, porté sous Windows, ClamAV, et un truc gentillet mais n'offrant aucune protection active. Un véritable antivirus, au comportement « On-access », aurait probablement empêché la pénétration de cette menace ou, si elle avait réussi à pénétrer, en aurait empêché son ouverture/exécution.
Le comportement « On-demand » est de peu d'intérêt (par exemple : nous disposons d'une collection de milliers de parasites divers sur nos disques actuellement branchés, sans que cela ne gène en quoi que ce soit le fonctionnement de nos machines : une analyse "On-access" serait provoquée si nous demandions l'ouverture de l'un de ces fichiers sinon ils peuvent rester là sans aucune incidence. Seule une analyse "On-demand", balayant la totalité de nos partitions, les découvrirait. Tant qu'ils ne sont pas "ouverts" (installés - activés) ils sont totalement inoffensifs, raison pour laquelle les tests comparatifs "On-demand" n'ont aucune utilité - Voir notre article " Tests et comparatifs antivirus ".
Beaucoup de comparatifs antivirus sont conduits régulièrement par d'importants sites ou d'importantes revues. Ces tests font immédiatement couler beaucoup d'encre et drainent énormément de :
Mis à part ces capacités à faire parler d'eux, ces tests, conduits avec des procédures « On-demand », ont-ils le moindre intérêt, la moindre crédibilité ?
Crédibilité des tests et comparatifs des antivirus
|
Antivirus et antimalwares fonctionnant « On-execution »
Les encyclopédies |
---|