Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Motifs (recherche de motifs (patterns) par les antivirus)

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
03.12.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Motifs (recherche de motifs (patterns) par les antivirus)

Motifs (recherche de motifs (pattern) par les antivirus)Motifs (recherche de motifs (patterns) par les antivirus)Motifs (recherche de motifs (pattern) par les antivirus)

Un « motif » (pattern) est quelque chose qui distingue autre chose, qui lui donne une typologie, et est répétitif (se retrouve plusieurs fois, dans plusieurs objets qui deviennent « de même nature » (fabriqués sur le même « modèle »). On est dans le monde de la reconnaissance de formes. Il y a des « motifs » architecturaux qui distinguent le gothique du roman.

En programmation informatique, un « motif » (pattern - modèle) est une séquence d'instructions typique d'une action ou d'une manière d'écrire d'un programmeur (comme on identifie un peintre à son coup de pinceau).

Les antivirus et autres outils disposant d'un analyseur de signatures (scanner de signatures) comportent, dans leurs bases de données, deux types de signatures :

  1. Les condensats (hashcodes) qui identifient la totalité du contenu d'un fichier
  2. Les « motifs » (patterns - modèles) déjà rencontrés, très particuliers et typiques, qui permettent d'émettre un doute plus ou moins accentué (un facteur de risque)

Si les condensats (hashcode) sont, par leur nature, publics, les « motifs » sont un secret industriel des éditeurs (d'antivirus, etc.).

Lorsqu'un générateur de virus fabrique des « clones singuliers », ou avec le Polymorphisme (Virus polymorphe), l'usage de condensats (hashcodes) est sans effet. Seule la reconnaissance de « modèles de codes » permet, peut-être, de déceler que l'objet analysé appartient à une famille d'objets reconnaissables à certains « motifs » qui les signent.

La découverte de « motifs » donne seulement des pistes à l'antivirus. Après, l'antivirus doit s'assurer de l'existence réelle d'une forme virale, afin d'éliminer le risque d'un « faux positif », en mettant en œuvre une machine virtuelle (utilisée en sandbox) pour observer ce que fait réellement l'objet lorsqu'il est exécuté.

Le logiciel de reconnaissance des types de fichiers, TrID, fonctionne entièrement sur l'identification de « motifs » (pattern).

Ne pas confondre « motif » (pattern) et motivation (au sens de justification). Un « motif » (signe distinctif) n'est pas un « motif » (une raison).