Vérification d'intégrité en défendant contre des virus


  Share  
|

En défendant contre des virus, nous avons affaire avec les créatures qui modifient leurs programmes de centre serveur pendant qu'ils écartent. Par conséquent, à sens unique détecter la présence d'un virus est de découvrir les dossiers qui ont été inopinément modifiés. Le procédé de vérification d'intégrité vise à réaliser ce but par après ces étapes :

  1. Tandis que la machine est dans un état primitif, les empreintes digitales de calcul (sous forme de sommes ou cryptographique hache) des dossiers ce besoin d'être surveillé, et les enregistrent dans une base de données de ligne de base.

  2. En balayant le système de fichiers pour des modifications soupçonneuses, calculez les empreintes digitales des dossiers surveillés et comparez les valeurs à ceux dans la ligne de base.

  3. Si des différences non expliquées entre l'état actuel et la ligne de base sont détectées, publiez une alerte.

Il y a plusieurs applications commerciales et libres qui sont consacrées à mettre en application de telles procédures de vérification d'intégrité. Le plus célèbre de ces outils est probablement Tripwire (disponible à www.tripwire.com), qui a été capable de détecter les changements non autorisés au système de fichiers depuis qu'il a été libéré la première fois en 1992. Tripwire et tout autre logiciel de ce type ne sont pas des contrôleurs de virus intrinsèquement que—de tels programmes visent à alerter des administrateurs des changements soupçonneux à l'état de la machine indépendamment de si l'attaque a été effectuée par le malware ou a été exécutée par un autre canal.

Des approches de vérification d'intégrité peuvent également être employées par le logiciel d'antivirus, bien que les fournisseurs soient rarement reçus au sujet du point auquel ils ont mis en application de tels mécanismes. Sophos AntiVirus est connu pour employer des sommes pour aider à déterminer si un dossier doit être examiné plus soigneusement par l'intermédiaire d'autres méthodes de détection. En balayant un dossier, Sophos AntiVirus calcule la somme du dossier et la compare à la valeur calculée plus tôt. Si les sommes ne s'assortissent pas, alors il y a une chance que le dossier a été infecté, et le programme d'antivirus pourrait devoir l'examiner plus complètement.

Un produit d'antivirus essayant de tirer le meilleur des techniques de vérification d'intégrité est susceptible d'être sélectif au sujet des parties du dossier qui sont prises des empreintes digitales pour des comparaisons de ligne de base. Par exemple, il pourrait être correct pour le contenu d'un document de Microsoft Word de changer quand l'utilisateur édite son texte ; cependant il est moins commun lointain pour les macros inclus dans le document à modifier. Par conséquent, le logiciel d'antivirus pourrait être plus soupçonneux des changements détectés de la section de macros du document.

La limitation principale de la méthode de vérification d'intégrité est qu'elle détecte l'infection seulement après qu'elle se produit. Cependant, c'est une addition utile aux approches se composantes de trousse à outils qui recherchent des signatures des spécimens connus de malware et à ceux qui emploient l'heuristique pour détecter le code nocif. Malheureusement, logiciel égal d'antivirus qui met en application chacun de ces détection

c'est un article supplémentaire par Levi D. Johnson


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions