Comment fonctionne un logiciel antivirus

Table des matières:

Comment fonctionne un logiciel antivirus
Comment fonctionne un logiciel antivirus

Vidéo: Comment fonctionne un logiciel antivirus

Vidéo: Comment fonctionne un logiciel antivirus
Vidéo: Réparation Grub disparus au démarrage sous Ubuntu - YouTube 2024, Novembre
Anonim
Les programmes antivirus sont de puissants logiciels indispensables sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les programmes antivirus détectent les virus, ce qu’ils font sur votre ordinateur et si vous avez besoin d’effectuer des analyses système régulières, lisez la suite.
Les programmes antivirus sont de puissants logiciels indispensables sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les programmes antivirus détectent les virus, ce qu’ils font sur votre ordinateur et si vous avez besoin d’effectuer des analyses système régulières, lisez la suite.

Un programme antivirus est un élément essentiel d’une stratégie de sécurité multicouche - même si vous êtes un utilisateur d’ordinateur intelligent, le flot constant de vulnérabilités des navigateurs, des plug-ins et du système d’exploitation Windows lui-même confère une importance particulière à la protection antivirus.

Analyse à l'accès

Un logiciel antivirus s'exécute en arrière-plan sur votre ordinateur, vérifiant chaque fichier que vous ouvrez. Selon votre programme antivirus, il s'agit généralement de l'analyse sur accès, de l'arrière-plan, de la recherche sur le résident, de la protection en temps réel ou autre.

Lorsque vous double-cliquez sur un fichier EXE, le programme peut sembler être lancé immédiatement, mais ce n’est pas le cas. Votre logiciel antivirus vérifie d'abord le programme, en le comparant à des virus, vers et autres types de programmes malveillants connus. Votre logiciel antivirus effectue également une vérification «heuristique», recherchant dans les programmes le type de mauvais comportement pouvant indiquer un nouveau virus inconnu.

Les programmes antivirus analysent également d’autres types de fichiers pouvant contenir des virus. Par exemple, un fichier d'archive.zip peut contenir des virus compressés ou un document Word peut contenir une macro illicite. Les fichiers sont analysés chaque fois qu’ils sont utilisés - par exemple, si vous téléchargez un fichier EXE, celui-ci sera immédiatement analysé, avant même que vous ne l’ouvriez.

Il est possible d’utiliser un antivirus sans analyse sur accès, mais ce n’est généralement pas une bonne idée: les virus qui exploitent des failles de sécurité dans les programmes ne seraient pas détectés par le scanner. Lorsqu'un virus a infecté votre système, il est beaucoup plus difficile à éliminer. (Il est également difficile d’être sûr que le malware a été complètement supprimé.)

Image
Image

Analyses complètes du système

En raison du contrôle sur accès, il n’est généralement pas nécessaire d’exécuter des contrôles complets du système. Si vous téléchargez un virus sur votre ordinateur, votre programme antivirus le remarquera immédiatement - vous n’avez pas besoin de lancer manuellement une analyse.

Les analyses complètes du système peuvent toutefois être utiles pour certaines tâches. Une analyse complète du système est utile lorsque vous venez d’installer un programme antivirus - elle garantit qu’aucun virus n’est en sommeil sur votre ordinateur. La plupart des programmes antivirus configurent des analyses système complètes planifiées, souvent une fois par semaine. Cela garantit que les fichiers de définition de virus les plus récents sont utilisés pour analyser votre système contre les virus en sommeil.

Ces analyses complètes du disque peuvent également être utiles lors de la réparation d’un ordinateur. Si vous souhaitez réparer un ordinateur déjà infecté, il est utile d’insérer son disque dur dans un autre ordinateur et d’effectuer une analyse complète du système pour détecter la présence de virus (s’il n’est pas nécessaire de réinstaller complètement Windows). Toutefois, vous n’avez généralement pas à exécuter vous-même des analyses complètes du système lorsqu'un programme antivirus vous protège déjà: il effectue toujours une analyse en arrière-plan et effectue ses propres analyses régulières et complètes du système complet.

Image
Image

Définitions de virus

Votre logiciel antivirus s'appuie sur des définitions de virus pour détecter les logiciels malveillants. C’est pourquoi il télécharge automatiquement les nouveaux fichiers de définition mis à jour - une fois par jour ou même plus souvent. Les fichiers de définition contiennent des signatures pour les virus et autres logiciels malveillants rencontrés à l'état sauvage. Lorsqu'un programme antivirus analyse un fichier et constate que celui-ci correspond à un programme malveillant connu, le programme antivirus arrête l'exécution du fichier et le met en "quarantaine". Selon les paramètres de votre programme antivirus, il peut supprimer automatiquement le fichier. ou vous pourrez peut-être laisser le fichier s'exécuter de toute façon, si vous êtes sûr qu'il s'agit d'un faux positif.

Les éditeurs d’antivirus doivent constamment se tenir au courant des logiciels malveillants les plus récents, en publiant des mises à jour de définitions qui garantissent que les programmes malveillants s’attaquent à ceux-ci. Les laboratoires antivirus utilisent divers outils pour désassembler les virus, les exécuter dans des bacs à sable et publier des mises à jour ponctuelles garantissant aux utilisateurs d'être protégés du nouveau malware.

Image
Image

Les heuristiques

Les programmes antivirus utilisent également des méthodes heuristiques. Les heuristiques permettent à un programme antivirus d'identifier les types de programmes malveillants nouveaux ou modifiés, même sans fichier de définition de virus. Par exemple, si un programme antivirus constate qu'un programme exécuté sur votre système tente d'ouvrir tous les fichiers EXE de votre système, en l'infectant en y écrivant une copie du programme d'origine, le programme antivirus peut détecter ce programme en tant que nouveau fichier. type inconnu de virus.

Aucun programme antivirus n'est parfait. Les heuristiques ne peuvent pas être trop agressives ou elles identifieront les logiciels légitimes comme des virus.

Faux positifs

En raison de la grande quantité de logiciels disponibles, il est possible que les programmes antivirus prétendent parfois qu’un fichier est un virus alors qu’il s’agit d’un fichier totalement sûr. Cela s'appelle un «faux positif». Parfois, les éditeurs d'antivirus commettent même des erreurs en identifiant les fichiers système Windows, les programmes tiers populaires ou leurs propres fichiers de programme antivirus. Ces faux positifs peuvent endommager les systèmes des utilisateurs - de telles erreurs finissent généralement dans les nouvelles, comme lorsque Microsoft Security Essentials identifiait Google Chrome comme un virus, les versions 64 bits de Windows 7 endommagées par AVG ou que Sophos s’identifiait lui-même comme un malware.

Les heuristiques peuvent également augmenter le taux de faux positifs. Un antivirus peut remarquer qu'un programme se comporte de la même manière qu'un programme malveillant et l'identifier comme un virus.

Malgré cela, les faux positifs sont assez rares en utilisation normale. Si votre antivirus dit qu'un fichier est malveillant, vous devriez généralement le croire. Si vous n’êtes pas sûr qu’un fichier est réellement un virus, vous pouvez essayer de le télécharger vers VirusTotal (qui appartient maintenant à Google). VirusTotal analyse le fichier avec une variété de produits antivirus et vous dit ce que chacun en dit.

Taux de détection

Les différents programmes antivirus ont des taux de détection différents, qui impliquent à la fois des définitions de virus et des méthodes heuristiques. Certaines sociétés antivirus peuvent proposer des méthodes heuristiques plus efficaces et diffuser davantage de définitions de virus que leurs concurrents, ce qui entraîne un taux de détection plus élevé.

Certaines organisations effectuent des tests réguliers des programmes antivirus les uns par rapport aux autres, en comparant leurs taux de détection dans des conditions réelles d'utilisation. AV-Comparitives publie régulièrement des études comparant l'état actuel des taux de détection des antivirus. Les taux de détection ont tendance à fluctuer avec le temps - il n’existe pas de meilleur produit qui soit toujours au top. Si vous voulez vraiment savoir à quel point un programme antivirus est efficace et quels sont les meilleurs sur le marché, vous devez vous renseigner sur les taux de détection.

Image
Image

Test d'un programme antivirus

Si vous souhaitez vérifier si un programme antivirus fonctionne correctement, vous pouvez utiliser le fichier de test EICAR. Le fichier EICAR est un moyen standard de tester les programmes antivirus - ce n’est pas réellement dangereux, mais les programmes antivirus se comportent comme s’ils étaient dangereux, en l’identifiant comme un virus. Cela vous permet de tester les réponses du programme antivirus sans utiliser de virus vivant.

Image
Image

Les programmes antivirus sont des logiciels compliqués, et des livres volumineux pourraient être écrits sur ce sujet - mais j'espère que cet article vous a mis au courant des bases.

Conseillé: