J’ai déjà vu sur internet que lorsque l’on fait analyser par un antivirus un programme télécharger, cet antivirus voit parfois un programme vérolé ( virus, trojan …) alors que ce programme est parfaitement sain ( faux positifs ). ma question est celle ci : comment savoir a coup sur si un programme téléchargé peut être un faux positif ? merci pour vos réponses .
:hello:
Nous ne sommes pas en mesure de confirmer le faux -positif d’immédiat , pourquoi ?
Généralement causé par l’émulation heuristique qui se base sur un algorithme complexe traité en mémoire et le manque de compte rendu du genre console debug nous aide pas à nous faire une opinion précise sur le blocage. c’est aussi quelque-part un manque de transparence des anti-virus.
Prendre le risque d’accepter l’action après ça reste au petit bonheur la chance. Pour tracer l’action vaut mieux surveiller les altération de la base de registre mais bon c’est pareil car à moins d’être développeur on ne sait jamais trop bien ce qui doit ou ne pas être fait sans compter la perte de temps que cela prendrait de comparer et d’évaluer les actions légitimes ou pas d’une application.
Raison pour laquelle un anti-virus devient vite une commodité et un mal nécéssaire (là encore ça dépend duquel) 
@+
c’est effectivement une manière de voir les choses ! mais ça demande une certaine patience donc autant attendre 3 jours que la base de données virale de l’antivirus soit mis à jour.
Un virus c’est quoi?
Code interprété par une application légitime ou une chaine de caractères (string) de bas niveau directement interprété par le processeur qui passe automatiquement à exécuter une action néfaste (détournement).
l’antivirus il fait quoi ?
Sa base de données virale (souches) contient les strings les plus dangereuses connues et l’action se doit d’être interceptée avant son exécution par le processeur , tout se passe en mémoire car avant tout , le code passe en mémoire pour être interprété par le processeur et là l’antivirus avec l’analyse heuristique évalue et compare dans tous les sens les strings pour éventuellement trouvé une réaction interprété par le processeur … donc en somme nous pouvons dire que l’antivirus n’est ni plus ni moins qu’un débogueur qui met des points d’arrêt et intercepte l’action en mémoire si une réaction est trouvée toujours en relation avec la base de données des souches dangereuses …
Je pense qu’un antivirus sans détection heuristique est devenu obsolète de nos jours et la fiabilité de cette détection est en constante évolution à cela nous ajoutons l’antirootkit ce qui réduit considérablement le choix du soft de protection !
donc pour le faux-positif l’unique moyen actuel de l’identifier c’est en réduisant progressivement le niveau de détection heuristique et si une fois arrivé au plus bas, le fichier est toujours considéré dangereux par l’anti-virus , c’est pas bon signe !
@+
Edité le 14/10/2009 à 17:47