Analyse Heuristique
Les antivirus intègrent généralement une fonction d'analyse heuristique. Ce traitement heuristique consiste en une analyse de codes suspects via la recherche d'instructions habituellement utilisées par les virus. Le but étant de détecter des virus qui ne sont pas encore connus des éditeurs d'antivirus.
Le scanner heuristique recherche les appels ou instructions inhabituels au système, aux applications en réseau ou aux clients de messagerie. Quand le nombre de ces comportements normalement exceptionnels dépasse un certain seuil, le scanner émet une alarme.
Certains produits comme : Grisoft, OfficeScan, Symantec et E-Safe vont plus loin en utilisant un émulateur de code qui va temporairement remplacer le système, afin de détecter tout fonctionnements anormaux. ViruScan utilise une technique pour éviter de lever de fausses alertes en intégrant un moteur d'analyse heuristique positive et négative.
Contrôle d'intégrité
Un contrôleur d'intégrité a pour but de construire une base contenant des informations sur tout ou partie des fichiers présents sur le disque. Cette base contiendra par exemple : le nom des fichiers, leurs tailles, leurs CRC ou checksum. Dès qu'un fichier est exécuté, le contrôleur d'intégrité vérifie que le fichier n'a pas été modifié et lève une alarme si c'est le cas. La majorité des antivirus du marché n'intègre pas de contrôleur d'intégrités. Panda réalise ce contrôle à base de CRC sur les fichiers système les plus importants. Certains antivirus comme Kaspersky se limitent à effectuer un contrôle sur la date et la taille de chaque fichier exécutable.
Moniteur d'activité
Le moniteur d'activité est un analyseur temps réel. Il fonctionne en permanence et recherche la présence d'un virus pour chaque accès à un fichier. Généralement, tous les antivirus sont dotés d'un moniteur d'activité. Panda utilise une technologie pour marquer les fichiers analysés afin d'éviter de les analyser plusieurs fois.
Les macro virus
Certains logiciels tels que Word ou Excel autorisent l'emploi de macros instructions permettant d'automatiser certaines taches. Codées de manière malveillante ces macros instructions peuvent se révéler très dangereuses. Les antivirus intègrent habituellement un module capable de neutraliser ces macro virus. Pour sa part, Symantec offre une technologie permettant à l'administrateur de définir les macros autorisées, toute autre macro sera supprimée du document dès son ouverture.
Restauration du système
Tous les antivirus permettent de restaurer le système en cas de dégâts, à condition d'avoir préparé des disquettes de restauration avant l'attaque virale.
3.6 Mise en quarantaine
Si l'antivirus n'est pas capable de supprimer le virus d'un fichier ou de le réparer, le fichier incriminé sera transféré dans une zone afin de ne pas propager l'infection. Cette zone de stockage appelée quarantaine est intégrée sur tous les antivirus du marché. Certain produits comme Kaspersky et Symantec permettent un stockage centralisé des fichiers en quarantaine.
Gestion centralisée
La plupart des antivirus du commerce dédiés aux entreprises intègrent un module de gestion centralisée. Ce module permet au minimum :
- La gestion des paramètres de la protection antivirus sur tous ordinateurs du réseau,
- Le déploiement des programmes antivirus sur les postes de travail à partir d'un poste d'administration,
- L'analyse des postes de travail à la demande de l'administrateur,
- La mise à jour automatique centralisée des bases de données antivirus (évite que tous les postes aient a se connecter à Internet),
- La génération de rapport d'analyse sur les virus détectés et supprimés,
- La gestion exclusive des paramètres de protection des ordinateurs,
- Le blocage de la désinstallation de l'antivirus par l'utilisateur.
|
