-
Ajouter aux favoris
Tours de passe-passe avec des fichiers
mercredi 19 octobre 2016
Si vous avez déjà vu les résultats de tests comparatifs d’antivirus, vous avez probablement remarqué que le nombre d'objets analysés peut varier considérablement en fonction des produits testés. Parfois, ces chiffres sont nettement plus élevés que le nombre de fichiers dans une collection analysée. La raison est assez prosaïque.
L'antivirus représente (entre autres) un extracteur qui permet de défragmenter tout objet, même s'il est corrompu et ne peut pas être traité par tout autre outil d'archivage.
Voici, par exemple, deux paragraphes relatant les exigences relatives à l'antivirus dans un appel d'offres :
« L'antivirus installé sur l'ordinateur doit assurer l'analyse des objets suivants :
- fichiers et objets au format Smart Install Maker (SIM); DMG, HFS, XAR, Universal Binary (MacOS); SIS (Symbian 9); INNO SETUP (5.3.9 et plus); SETUP FACTORY (line up 7.8); Xenocode; TARMA INSTALLER (line up 3); XZ (UNIX); COMPRESS; SQUAHFS; ZIP CHILKAT; paquets LHA (AWARD BIOS),
- fichiers et objets dans les archives auto-extractibles: AppPackager, Astrum Install Wizard, Create Install, Fly Studio, GSFX, Hot Soup, Inno Setup, Install Essen, Install Factory, Linder Setup, NSIS (NullSoft Installation System), RSFX, SEA, Setup Factory, Setup Generator Pro, SXA ZIP, Tarma Install, Thunder Setup System, Wise Installation System, Alloy.
Et il existe d’autres formats !
Mais même une analyse antivirus standard peut révéler des surprises liées au nombre d'objets scannés. Prenons pour exemple un fichier de taille nulle:
Demandons à l'antivirus de l'analyser.
S’est-il produit un miracle ? Pourquoi 9 objets ont-ils été scannés ? Compteur incorrect ? En fait, tout est normal : l'antivirus analyse tout simplement les fichiers et dossiers en profondeur, ce qui est invisible pour les utilisateurs.
Dans les œuvres de fiction, on pourrait voir décrit un portefeuille ou un sac magiques dans lesquels vous pouvez mettre différentes choses sans que la taille ni le poids du portefeuille ou du sac ne changent. Les fichiers et répertoires du système de fichiers NTFS utilisé dans les systèmes d'exploitation Microsoft Windows ressemblent à ces "portefeuilles magiques".
Tout le monde sait que le fichier comporte des attributs, un droit de lecture et d'écriture.
Mais il est possible de désigner d'autres attributs qui ne sont pas visibles par les utilisateurs lorsqu'ils travaillent avec les gestionnaires de fichiers ordinaires.
Par exemple, il est possible d'écrire un fichier dans un autre fichier de taille nulle.
Prenons le virus de test eicar (par exemple, depuis la page http://www.eicar.org/85-0-Download.html). Ce programme (EICAR — European Institute for Computer Anti-Virus Research) a été spécialement conçu pour que l'utilisateur puisse voir sans aucun risque comment l'antivirus installé l'alerte sur la détection d’un virus.
Mais n'oubliez pas de désactiver la protection antivirus avant le téléchargement de ce fichier de test, sinon vous verrez quelque chose comme ceci :
Passons dans la la ligne de commande et copions le virus de test dans un fichier.
Ouvrons le gestionnaire de fichiers pour nous assurer que la taille du fichier n'a pas changé :
Demandons de scanner le fichier:
Ainsi, vous pouvez cacher un objet important à l'utilisateur.
Attention !
- Si vous souhaitez mener ces essais, faites-le sur des machines déconnectées du réseau local.
- N'oubliez pas d'activer l'analyse antivirus immédiatement après les expériences.
Il existe des situations différentes ...
Le projet Lumières sur la sécurité recommande
Dr.Web Antivirus détecte des fichiers malveillants partout où ils peuvent se cacher. Mais il ne faut pas toujours considérer que vous connaissez votre OS mieux que les malfaiteurs et que vous êtes en mesure de remarquer l'apparition d'un virus. Ne surestimez pas vos capacités et ne sous-estimez pas les cybercriminels !
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 15 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
05:49:46 2018-08-28
Неуёмный Обыватель
02:11:17 2018-08-06
Bernard
22:59:22 2016-10-19
Pour moi la vérité c'est un produit qui repose sur la confiance de ses clients utilisateurs et non de ces pseudo tests derrière lesquels se cachent sans doute de la monnaie !