le b.a-ba des virus

Tous les sujets touchant à la sécurité du système.
Avatar du membre
ultimatum
Messages : 1090
Enregistré le : mar. 25 oct. 2016 07:52

le b.a-ba des virus

Message par ultimatum »

bon un peu de lecture pour ceux que ça interesse
Image

Définition
Le virus informatique fonctionne de manière analogue au virus biologique. Il va se dupliquer dans un programme « hôte » lorsqu'une partie de code d'un autre programme « infecté » par ce virus est exécutée. C'est le plus souvent un segment de code exécutable ou de script qui va se greffer à l'intérieur de programmes ou de documents utilisant des scripts. Lors de l'insertion de ce segment de code dans le programme, le virus va aussi modifier la structure de celui ci de telle façon que le code infecté puisse être exécuté en premier lieu.

Types de Virus
Image

Les virus informatiques possèdent plusieurs formes, et fonctionnent tous de façons différentes en fonction de leurs types. Tous les virus ne sont pas destructeurs, leurs actions sont aussi diverses que leurs nombres. Ils peuvent se placer aussi bien sur des zones particulières d'un disque dur ou d'une disquette, que sur le système de fichiers disponible. On classifie généralement les virus par rapport à leur mode de fonctionnement :

-les virus du « secteur de démarrage » : ces virus sont indépendants du système d'exploitation utilisé, ils se positionnent sur le secteur de démarrage qui est le premier secteur d'une disquette, ou d'une partition d'un disque dur. Ces virus infectent le secteur de démarrage en récrivant le code de démarrage avec un code infecté. Ce sont les virus les plus répandus. Une des façons pour qu'un système soit infecté par ce type de virus, est de démarrer à partir d'une disquette infectée, ou de la lire. Par exemple, le virus « Stoned » a été très répandu au début des années 1990. Il était prévu inoffensif et affichait parfois au démarrage de la machine le message « Your computer is now stoned. »;

-les virus « infectant des fichiers » : ces virus infectent la plupart, si ce n'est la totalité, des fichiers exécutables d'un système. Ils modifient la structure du programme de manière à être exécuté avant le programme appelé. Une fois chargés, ces virus vont se replacer dans une autre partie de la mémoire et infecter ainsi tous les programmes non infectés qui seront exécutés par la suite. Le plus souvent le programme d'origine continue à fonctionner comme il le devrait, mais il arrive parfois que la modification du programme ne se passe pas correctement dû à une erreur de programmation du virus. Les fichiers exécutables ne sont plus les seuls à être affectés par ce type de virus comme nous l'a montré le virus « ILoveYou » qui modifiait non seulement les fichiers de scripts présents sur la machine mais aussi les fichiers au format JPEG et MP3 ;

-les virus « polymorphes » : aussi appelés virus furtifs, ces virus changent leur apparence à chaque nouvelle infection. Ils sont donc plus difficiles à détecter et à détruire que les autres. Ces virus tentent de se rendre invisibles au système d'exploitation et des anti-virus. Pour cela, ils doivent rester en mémoire, et masquer toutes les modifications qu'ils effectuent sur les fichiers et répertoires. Ils utilisent par exemple des technologies de chiffrement pour ne pas être facilement identifiable. Il s'agit avant tout d'une fonctionnalité que certains virus exploitent ;

-les virus « à infection multiple » : ces virus infectent non seulement les secteurs de démarrage, mais aussi les fichiers présents sur la machine. Ils utilisent le plus souvent des techniques « furtives » pour empêcher leur détection ;

-les « macros » virus : ces virus sont écrits dans un langage de script comme le Visual Basic Script. Ces scripts sont souvent inclus dans des documents qui, lorsqu'ils sont ouverts, sont interprétés. Les types de document les plus utilisés par ces virus sont les documents Word et les courriers électroniques. Les documents PostScript et PCL sont aussi susceptibles d'être contaminés pour attaquer les imprimantes, mais aussi les machines si un interpréteur de ces langages est présent sur ces dernières ;

-les virus « sociaux » : ces virus poussent l'utilisateur à effectuer une action qui permettrait l'infection de la machine. Par exemple, la consultation d'un document attaché à un courrier électronique est incité par la connaissance de l'expéditeur. Ils ont profité de la mise en garde des sociétés éditrices d'anti-virus lors des premiers virus exécutables envoyés par courrier électronique. Elles conseillaient aux utilisateurs de ne pas ouvrir de documents attachés ne venant pas de personnes de confiance. Les virus « Melissa », et « ILoveYou » exploitèrent cette méthode de propagation.

Les effets


Les effets dépendent de la nature du virus, cela peut aller du petit message qui va apparaître lors du démarrage de la machine à l'effacement complet des données présentes sur le disque dur. Il faut cependant considérer tous les virus comme dangereux. En effet le virus le moins dangereux en apparence peut-être une menace pour l'homme, par exemple dans le cas d'un appareil de surveillance dans un contexte hospitalier, un virus qui bloque la machine en affichant un message jusqu'à ce qu'une touche soit pressée, peut être fatal.

On peut définir trois états ou phases pour les virus :
Image

une phase d'infection du nouvel hôte (machine, programme, BIOS, etc.) ;

une phase de duplication pendant laquelle le virus va chercher un nouvel hôte ;

une phase de latence pour les virus qui ne se déclenchent que lors d'évènements particuliers (une date ou un certain nombre de ré-initialisations de la machine, par exemple).

Un virus peut se placer aussi bien dans un programme que dans le BIOS d'une machine (c'est l'interface entre le système d'exploitation et la machine, on le trouve plus communément sous la forme d'une mémoire flash, intégrée à la carte mère) ou encore dans les secteurs de démarrage des disquettes ou des disques durs.

Les virus s'attaquent tout particulièrement aux fichiers exécutables binaires, par conséquent nous allons nous intéresser au format de ces fichiers pour comprendre comment les virus les infectent. Ils existent plusieurs formats de fichiers exécutable et nous nous intéresserons plus particulièrement au format « PE » (Portable Executable) utilisé par le système Windows et au format ELF (Executable and Linkable Format) utilisé par le système GNU/Linux.

voila les notion de bases intéressante à mon avis
si vous voulez plus d'info (par exemple sur les "virus" sous linux ) j'ai deux ou trois autres synthèse de ce genre en stock

(merci Tony Bassette et Alcôve pour l'autorisation de diffusion)
Image

Avatar du membre
Pierrot49
Messages : 50
Enregistré le : sam. 20 janv. 2018 12:30
Localisation : Angers

Re: le b.a-ba des virus

Message par Pierrot49 »

super très intéressant votre travail de synthèse, mais alors dites moi comment analyser les d'ouverture d'un pdf, d'une image ou autres archives à leur ouvertures pour savoir si un codage malicieux n'y à pas été glissé??
  • Kernel: 4.10.0-38-generic x86_64 (64 bit)
    Desktop: Cinnamon 3.6.6 Distro: Linux Mint 18.3 Sylvia
    Machine: Mobo: Gigabyte model: EP31-DS3L Bios: Award v: FDa date: 10/27/2008
    CPU: Dual core Intel Core2 Duo E8500 (-MCP-) cache: 6144 KB
    Graphics Card: NVIDIA G98 [GeForce 8400 GS Rev. 2]
    Display Server: X.Org 1.18.4 drivers: nvidia

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: le b.a-ba des virus

Message par mpedro »

Il suffit juste de citer le lien pas d'autorisation de diffusion
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
ultimatum
Messages : 1090
Enregistré le : mar. 25 oct. 2016 07:52

Re: le b.a-ba des virus

Message par ultimatum »

c'est pour moi que tu dit ça??? ou c'est la reponse a la questions juste au dessus je comprend pas??
si c'est pour moi je peut te copier le mail de Nat Makarevitch pour l'autorisation de diffusion d'une partie de l'article :!: :!:
Image

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: le b.a-ba des virus

Message par mpedro »

Je veux dire en écrivant que c'est bizarre de demander une autorisation de diffusion plutôt que citer le lien tout simplement.
http://www.linux-france.org/article/cel ... l/ch2.html" onclick="window.open(this.href);return false; sinon on n’arrêterait pas de demander à untel ou untel dans un forum qui serait improductif. (C'est pas pour titiller bien que... 8-) mais ça m'a paru tellement surprenant de faire un copier/coller et demander l'autorisation).
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
ultimatum
Messages : 1090
Enregistré le : mar. 25 oct. 2016 07:52

Re: le b.a-ba des virus

Message par ultimatum »

mpedro a écrit : sinon on n’arrêterait pas de demander à untel ou untel surprenant de faire un copier/coller et demander l'autorisation).
c'est la moindre des politesse de demander pour utiliser le travail d'un autre il me semble...
de plus je n'ai pas repris l'article integrale ni les liens connexe qui aurais été trop compliquer pour les personnes qui justement ne connaisse pas les bases des virus...
mais bon c'est pas dur vu que ça derange je post plus c'etais pas pour moi , mais pour les autres membre moins instruit que toi...
sur ce bon week end et zebulon peut verouiller le sujet vu que à priorie j'ai enfrein des regles que je ne conaissait pas
Image

Avatar du membre
débitant
modérateur
Messages : 11534
Enregistré le : mar. 14 juil. 2015 18:22
Localisation : Lorraine France

Re: le b.a-ba des virus

Message par débitant »

il n'y a aucune raison de fermer ce fil, continues de faire comme tu crois devoir le faire ;)
logiquement on devrait demander l'autorisation de diffusion de tout ce qu'on trouve sur le net, sauf indications des auteurs, même les photos prises à droite et à gauche ;)
et l'argument "on en finirait pas" n'est pas recevable devant une juridiction ;)

fin de cet aparté ;)

Avatar du membre
ultimatum
Messages : 1090
Enregistré le : mar. 25 oct. 2016 07:52

Re: le b.a-ba des virus

Message par ultimatum »

débitant a écrit : logiquement on devrait demander l'autorisation de diffusion de tout ce qu'on trouve sur le net, sauf indications des auteurs,

fin de cet aparté ;)
merci debitant mais surtout quand il y a un copiright .....
de toute façon c'est clos pour moi pas de soucis ;)
Image

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: le b.a-ba des virus

Message par mpedro »

(Tant que ce n'est pas à des fins commerciales c'est essentiellement la raison d'un copyright).
Faut pas s'emballer désolé pour la gêne c'est seulement de la discussion. Continue ton fil car il n'existe aucune raison pour le clore et de plus c'est très instructif et permet de mieux comprendre les notions de virus. Je partage un intérêt pour tout ce qui a trait à la sécurité.
Modifié en dernier par mpedro le dim. 21 janv. 2018 12:47, modifié 1 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
ultimatum
Messages : 1090
Enregistré le : mar. 25 oct. 2016 07:52

Re: le b.a-ba des virus

Message par ultimatum »

Pierrot49 a écrit : comment analyser les d'ouverture d'un pdf, d'une image ou autres archives à leur ouvertures pour savoir si un codage malicieux n'y à pas été glissé??
tu à un grand nombre d'outil en ligne (souvent anglophone mais trés efficace)
je peut te coller deux lien assez complet
https://zeltser.com/online-tools-for-ma ... -analysis/" onclick="window.open(this.href);return false;
https://digital-forensics.sans.org/blog ... -pdf-files" onclick="window.open(this.href);return false;

il y en à beaucoup d'autre ;)
Image

Répondre