COMMENT LES VIRUS ÉVITENT LA DÉTECTION


  Share  
|


Les virus peuvent survivre seulement s'ils restent non détectés assez longtemps pour leur donner l'heure de se écarter à d'autres ordinateurs. Pour augmenter la chance d'un virus de la survie, les programmeurs de virus ont employé une variété de la tactique.

Méthodes d'infection

Les programmes d'Antivirus peuvent repèrer un virus dans une de deux manières. D'abord, le programme d'antivirus peut identifier la signature d'un virus particulier, qui n'est rien davantage que les instructions spécifiques incluses dans le virus qui lui indiquent comment se comporter et agir. La signature d'un virus est comme l'empreinte digitale d'un criminel que—chacune est unique et distincte.

Une deuxième manière que les programmes d'antivirus peuvent détecter un virus est par son comportement. Les programmes d'Antivirus peuvent souvent détecter la présence d'un virus précédemment inconnu en attrapant un virus pendant qu'il essaye d'infecter un dossier ou un disque différent.

Pour partir furtivement après un programme d'antivirus, beaucoup de virus emploient une variété de méthodes pour écarter :

  • Infection directe

  • Infection rapide

  • Infection lente

  • Infection clairsemée

  • infection de RAM-RÉSIDANT

L'infection directe signifie que le virus infecte un disque, ou un ou plusieurs dossiers, chaque fois que vous exécutez le programme infecté ou ouvrez le document infecté. Si vous ne faites pas non plus, le virus ne peut pas écarter du tout. L'infection directe est la plus simple mais également la manière la plus apparente d'infecter un ordinateur et peut souvent être détectée par des programmes d'antivirus assez facilement.

L'infection rapide signifie que le virus infecte n'importe quel dossier consulté par un programme infecté. Par exemple, si un virus infecte votre programme d'antivirus, montre dehors ! Chaque fois que un programme infecté d'antivirus examine un dossier, il peut réellement infecter ce dossier juste après certifier que le dossier est virus-libre.

L'infection lente signifie que le virus infecte seulement les dossiers nouvellement créés ou les dossiers modifiés par un programme légitime. En faisant ceci, les virus essayent de masquer plus loin leur présence des programmes d'antivirus.

L'infection clairsemée signifie que le virus prend ses dossiers d'infection de temps. Parfois elle infecte un dossier, et parfois elle pas . En infectant un ordinateur lentement, les virus réduisent leur chance d'être détecté.

l'infection de RAM-RÉSIDANT signifie que le virus s'enterre dans votre mémoire d'ordinateur, et chaque fois que vous exécutez un programme ou insérez une disquette, le virus infecte ce programme ou disque. l'infection de RAM-RÉSIDANT est la seule manière qui initialisent des virus peut écarter. Les virus d'initialisation peuvent ne jamais écarter à travers un réseau ou l'Internet puisqu'ils peuvent seulement écarter en insérant physiquement une disquette infectée dans un ordinateur, bien qu'ils puissent immobile infecter différents ordinateurs attachés à un réseau.

Discrétion

Les virus indiquent normalement leur présence pendant l'infection. Par exemple, un virus d'dossier-infection change typiquement la taille, la période, et le tampon-date du dossier qu'il infecte. Cependant, l'dossier-infection des virus qui emploient des techniques de discrétion peut infecter un programme sans modifier la taille, l'heure, ou la date, ainsi restant du programme cachés.

Les virus d'initialisation emploient toujours des techniques de discrétion. Quand l'ordinateur indique le secteur de l'initialisation d'un disque, le virus d'initialisation charge rapidement le vrai secteur d'initialisation (qu'il a sans risque caché loin dans un autre endroit sur le disque) et se cache derrière lui. C'est comme avoir votre appel de parents vous à la maison à s'assurer que vous vous comportez, mais vous répondez vraiment au téléphone au hall de piscine de voisinage en employant le renvoi d'appel. En ce qui concerne vos parents, ils ont demandé votre numéro à la maison et vous avez répondu. Mais en réalité, leur appel a obtenu conduit de votre téléphone à la maison au téléphone de hall de piscine. Une telle indication inexacte est comment les virus d'initialisation emploient des techniques de discrétion pour cacher leur présence à partir de l'ordinateur.

Dans la plupart des cas, les techniques de discrétion masquent la présence du virus des utilisateurs mais ne peuvent pas toujours duper un programme d'antivirus. Pour davantage de protection contre un programme d'antivirus, les virus peuvent employer le polymorphisme.

Polymorphisme

Pour garder d'infecter le même dossier ou initialiser le secteur à plusieurs reprises encore (et de s'indiquer), les virus doivent le premier contrôle voir s'ils ont déjà infecté un dossier particulier ou initialisent le secteur. Pour faire ainsi, les virus recherchent leur propre signature—l'ensemble d'instructions qui composent ce virus particulier. Naturellement, les programmes d'antivirus peuvent également trouver des virus en recherchant ces signatures, aussi longtemps que le virus a été attrapé et examiné—si cela ne s'est pas produit, un programme d'antivirus ne connaîtra jamais la signature du virus.

Si les criminels condamnés pourraient modifier leurs empreintes digitales chaque fois il a commis un crime, ils seraient plus difficiles de les attraper. C'est l'idée derrière le polymorphisme.

Théoriquement, un virus polymorphe change sa signature chaque fois que elle infecte un dossier, qui signifie qu'un programme d'antivirus peut ne jamais le trouver. Cependant, parce que les virus polymorphes doivent s'assurer ils n'infectent pas le même dossier à plusieurs reprises encore, les virus polymorphes partent toujours d'une petite signature distincte qu'eux (et un programme d'antivirus) peuvent encore trouver.

Retaliators

La meilleure défense est une bonne offense. Plutôt que passivement se cachant d'un programme d'antivirus, beaucoup de virus les découvrent activement et attaquent. Quand vous employez votre programme préféré d'antivirus, ces virus de représaille l'un ou l'autre modifient le programme d'antivirus de sorte qu'il ne puisse pas détecter le virus, ou ils infectent le programme d'antivirus de sorte que les aides de programme d'antivirus réellement écartent le virus. Dans les deux cas, le programme attaqué d'antivirus montre gaiement un "votre ordinateur est" message virus-libre tandis que le virus écarte heureusement dans tout votre ordinateur.

c'est un article supplémentaire par Président Justin Tomel


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions