Annexe B. Neutralisation des menaces |
Il existe plusieurs méthodes de détection et de suppression des menaces informatiques. Elles sont réunies dans les produits Dr.Web qui sont dotés d'une configuration facile et flexible, ce qui assure une protection solide des ordinateurs et des réseaux. Méthodes de dépistage Recherche par empreinte de signatures Cette méthode est une variante de l'analyse par signatures. La signature est une séquence continue d'octets, qui est unique en son genre, et, grâce à laquelle il est possible de dépister une menace informatique. Si le code de l'objet suspect analysé contient une signature de la base virale, il s'agit bien alors d'une menace. La méthode de recherche par empreinte de signatures utilise des empreintes de signatures au lieu d'utiliser les séquences de signatures complètes. La comparaison des empreintes de signatures, qui identifient de manière unique les signatures, permet de préserver l'exactitude de la détection et de la neutralisation des virus, tout en réduisant la taille de la base virale. Émulation d'exécution La méthode d'émulation du code logiciel est utilisée pour la détection des virus polymorphes et codés, lorsque l'utilisation de l'analyse par empreintes de signatures est impossible ou bien devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l'aide de l'émulateur (logiciel qui reproduit le modèle du processeur, parfois de l'ordinateur ou de l'OS). L'émulateur opère avec la partie protégée de la mémoire (Tampon d'émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de recherche par empreintes de signatures. Analyse heuristique Une analyse heuristique est utilisée pour détecter des menaces inconnues auparavant, et sur lesquelles les bases virales ne comportent aucune information. La méthode de l'analyse heuristique est fondé sur une certaine connaissance des attributs qui caractérisent les codes malicieux. Chaque attribut ou caractéristique possède un score qui détermine le niveau de gravité et de fiabilité. Le score est positif si l'attribut est typique pour les codes malicieux. Il peut être négatif si l'attribut n'est pas caractéristique pour les menaces. Si le score total de tous les attributs détectés dans l'objet dépasse une certaine valeur, l'analyseur heuristique en conclut que l'objet peut être nocif et le classe comme suspect. Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (laisser passer un virus ou faire un faux positif). Origins Tracing™ Origins Tracing™ est un algorithme unique, sans signatures, permettant de détecter les menaces. Cet algorithme est développé par les spécialistes de Doctor Web et il est utilisé uniquement au sein des produit Dr.Web. Tout en complétant les méthodes d'analyse par signatures et d'analyse heuristique, cet algorithme augmente la probabilité de détection des menaces inconnues. Un postfix .Origin est ajouté aux noms des menaces détectées à l'aide de la technologie Origins Tracing™. Les produits Dr.Web peuvent appliquer des actions spécifiques aux objets détectés pour neutraliser les menaces Internet. L'utilisateur peut laisser le logiciel appliquer automatiquement les actions paramétrées par défaut, les modifier, ou choisir une action spécifique pour chaque objet dépisté. Les actions disponibles sont :
|