Forum Clubic

Test AV-COMPARATIVE de novembre 2007 (page 2)

je savais bien que tu n’ avais pas lu mon post en entier ^^

bataille gagnée par KO \o/
Edité le 19/02/2008 à 17:08

Bonjour Arrkhan
Bonjour à tous,

Le pseudo virus Eicar permet de vérifier la bonne installation d’un antivirus en ce qui concerne ses modules basés sur les signatures :
le module d’analyses “On-Demand”
le module d’analyses “On-Access”

Il ne permet absolument pas de tester les autres modules, ceux basés sur le comportement du code lorsqu’il est mis en situation d’être exécuté, pour la bonne raison que EICAR est une bête chaîne arbitraire de caractères et n’est pas du code exécutable. Donc rien ne peut être déduit à propos des analyseurs heuristiques ou des machines virtuelles et autres sandbox ni des “boucliers temps réel” (pseudo genre de contrôleurs d’intégrités) surveillant des emplacements privilégiés.

D’autre part, EICAR ne peut être exploité que dans une implémentation formelle :

La convention EICAR entre les industriels

  • Elle date de 2003 avec ce texte :
    ”The definition of the file has been refined 1 May 2003 by Eddy Willems in cooperation with all vendors.”
    “La définition du fichier a été redéfinie le 1er mai 2003 par Eddy Willems en coopération avec tous les vendeurs.”
  • Le test EICAR stipule que le fichier de test doit commencer par la chaîne de caractère EICAR et doit faire exactement 68 caractères de long :
    ”Any anti-virus product that supports the EICAR test file should detect it in any file providing that the file starts with the following 68 characters, and is exactly 68 bytes long:”
    “Tout antivirus qui supporte le fichier de test EICAR devrait le détecter dans n’importe quel fichier à condition que le fichier commence par les 68 caractères suivants et fasse exactement 68 octets de long:”
    Note du traducteur : par “n’importe quel fichier” il faut comprendre : fichiers compressés avec divers compresseurs etc. … plusieurs échantillons dans diverses compressions sont ensuite offerts sur le site officiel EICAR.

C’est d’ailleurs avec ceci que j’ai pu démonter, entre autres, l’un des mécanismes d’un pseudo outil prétendant analyser nos couches de protections et nous dire si nous sommes bien protégés ou non.

L’analyse et le test d’un outil de tests

EICAR : Quid ?

Ensuite, il est possible de triturer un fichier EICAR conforme aux conditions stipulées ci-dessus afin de tester les capacités des antivirus à décompresser un fichier qui a été compressé n fois, de manière récurrente, avec le même ou plusieurs outils de compression empilés etc. … Ceci permet de savoir à combien de récurrences de compressions successives un antivirus s’arrête et de savoir quels algorithmes il reconnaît ou ne reconnaît pas.

Sur une machine, on peut dire que l’on se fiche qu’un parasite ait été compressé 1 ou n fois tant qu’il est à l’état de fichier. Il peut rester ainsi à vie - cela ne gêne rien ni personne. Tant qu’ils ne sont pas “lancés”, les fichiers contenant les parasites sont statiques (j’enrage d’ailleurs d’avoir oublié de protéger, à plusieurs reprise, ma collection de virus qui se trouve, sans aucun risque, directement sur mon disque système, lors de mes nombreux tests “On-Demand” d’antivirus et d’avoir perdu une grande partie d’entre eux - collection difficile à reconstituer).

Que les antivirus soient capables de décompresser des fichiers compressés 4, 6, 10, 12 fois etc. … est de peu d’importance. C’est plutôt de la simple curiosité.

Il ne faut pas perdre de vue ce qui nous intéresse : que le module “On-Access” soit capable, lors de la dernière décompression, celle qui va révéler le code exécutable, de détecter le parasite.

Malheureusement, ce chiffre est utilisé lors de tests comparatifs “On-Demand” fait par de simples sites généralistes ou de simples “webmasters / particuliers”, comparatifs qui sont relayés avec fracas par ceux qui n’y connaissent rien sur les forums et autres moyens de communication.

Antivirus et analyses “On-Demand”
Antivirus et analyses “On-Demand”

Les tests comparatifs “On-Demand” sont-ils significatifs ?
Les tests comparatifs “On-Demand” sont-ils significatifs ?

Antivirus et analyses “On-access”
Antivirus et analyses “On-access”

Les comparatifs “On-Demand” sont peu ou pas significatifs. Malheureusement, les éditeurs, piégés par ces comparatifs stupides, sont bien obligés de suivre les modes des testeurs et de “faire du chiffre”. Les comparatifs “On-Demand” sont tellement faciles à réaliser par le premier quidam venu ! Seuls comptent les comparatifs “On-Access” mais là, il faut un autre équipement et un autre savoir-faire pour les conduire.

Le seul moment où la capacité de décompression récurrente présente un intérêt est lors du transport d’un parasite, par exemple lors de son transfert par e-mail ou P2P - à ce moment là, cela contribue à la non propagation.

Cordialement

merci de toutes ses precisions Terdef qui elargissent mon argumentation face a mon detracteur =Þ
je tiens a precisez que mon applications est de type “on access”, aprés, libre choix a l’utilisateur de desactiver son antivirus et d’extraire toutes les archives de l’executable afin de proceder a une analyse “on demand”, je pense notement aux utilisateur de clam, en version windows et mac os (clamwin et clanXav) ne disposant pas de resident.

je tiens egalement a rajouter que nombre de tester antivirus de developper de pseudo-antivirus base sur eicar et applet java ne respecte pas les regles en disposant notement des archives avec mots de passe ou bien des chaines de plus de 68 octets uniquement detectable par leurs antivirus de maniere a vous le vendre, mon exe sera pour sa part completement impartial pour tester au plus juste les limitations de vos anti virus.

Cela m’est egalement arrivé quelques fois, depuis j’ai quelques zones demilitarisé sur mes durs (pour prevenir des mauvais coup du resident et des faux-positifs connu que j’ai), j’ai quasi abandonné la recherche manuelle de mes durs, je ne fait plus que des recherches en lignes avec kaspersky qui contrairement a d’autres analyse mais ne corrige rien (derniere analyse hier 782 fichiers infecté ^^)

Apres cette discution quelques peu mouvementée, je pense finalement rajouter quelques test heuristiques et des test pop et smtp

arrkhan whn
Edité le 23/02/2008 à 03:36

Re Arrkhan et tous les autres

Ce que je pense des analyses heuristiques

La suite… Antivirus et Analyses Heuristiques

Cordialement
Edité le 23/02/2008 à 09:49

Merci terdef pour ces précisions ( félicitation au passage pour ton site , très complet ) , c est ce que j essaie de faire comprendre au gamin depuis le début , EICAR n est pas fait pour tester l efficacité d un AV !!! , mais il ne semble pas comprendre cela ! et en plus tetu et de mauvaise foi [quote=""]
merci de toutes ses precisions Terdef qui elargissent mon argumentation face a mon detracteur =Þ
[/quote]
!

Mais bon il commence a se renseigner apparemment [quote=""]
je tiens egalement a rajouter que nombre de tester antivirus de developper de pseudo-antivirus base sur eicar et applet java ne respecte pas les regles en disposant notement des archives avec mots de passe ou bien des chaines de plus de 68 octets uniquement detectable par leurs antivirus de maniere a vous le vendre, mon exe sera pour sa part completement impartial pour tester au plus juste les limitations de vos anti virus.
[/quote]

Rien n est plus facile de modifier une signature ds un trojans etc… Soit on va rechercher manuellement ds le malware (désassemblage ) ou est apposé la signature (de ou des av) et la modifier ( ça me rappel Norton il a quelques années ou les signature étaient simplement apposés ds du texte… ou crypter / compresser le malware afin de le rendre indecté etc… , mais ces méthode ne val plus rien actuellement ( du moins pour la 1er ) , les av se sont adapté et ont devellopé des moteurs heuristique et l émulation de code pour certains ( nod32 , antivir ).

Maintenant toi tu veux déjà rendre EICAR en exécutable puis le crypter compresser etc [quote=""]
ah bon, alors essaye donc je faire ca, il faut au préalable désactiver le résidant de ton antivirus, prend la signature d’eicar, X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* , enregistre la dans un fichier texte .txt que tu renomme en .exe ou en .com, ensuite tu fait une compression récursive en .zip (2x suffisent), tu l’encode ensuite avec BinHex, tu obtient donc un fichier .zip.hqx et tu met une extension aléatoire .str, ce qui nous donne fichiertexte.com.2xzip.hqx.str
[/quote]
Je pense que la chaine de caractère doit complètement être changé , non ?

Maintenant si ce que tu cherche a faire ds les normes EICAR ça existe déjà sur le site d eicar avec les exécutable eicar.com , eicar.com.zip etc
mais une fois de plus cela ne sert qu a voir le fonctionnement de son av et absolument pas a déterminer l efficacité de détection de l av .

si tu veux tester les av reellement tu test avec de VRAIS malware , tu crypt , tu compress etc , mais tu verifie qu ils s executent toujours apres tes manipulations ( sandbox , vm ) , sinon ça sert a rien , c est ce que fait av-comparative tres bien .
Edité le 23/02/2008 à 15:28

Re,

Tu ne peux pas rendre EICAR “exécutable”. Par contre tu peux essayer de lui coller tous les suffixes de la Terre dont des .com, .exe etc. … Cela ne changera rien puisque les antivirus se fichent complètement, et heureusement, de “l’enveloppe” des choses. Ils se concentrent sur leur contenu et pas leur contenant.

Cordialement