27Aug
Les programmes antivirus sont des logiciels puissants qui sont essentiels sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les antivirus détectent les virus, ce qu'ils font sur votre ordinateur et si vous devez effectuer des analyses régulières du système, lisez la suite.
Un programme antivirus est un élément essentiel d'une stratégie de sécurité multicouche - même si vous êtes un utilisateur d'ordinateur intelligent, le flot constant de vulnérabilités pour les navigateurs, les plug-ins et le système d'exploitation Windows lui-même. Analyse à l'accès
Le logiciel
Antivirus s'exécute en arrière-plan sur votre ordinateur, en vérifiant chaque fichier ouvert. Cette fonction est généralement appelée analyse à l'accès, analyse en arrière-plan, analyse résidente, protection en temps réel ou autre, en fonction de votre programme antivirus.
Lorsque vous double-cliquez sur un fichier EXE, il peut sembler que le programme se lance immédiatement - mais ce n'est pas le cas. Votre logiciel antivirus vérifie d'abord le programme, en le comparant aux virus connus, aux vers et autres types de logiciels malveillants. Votre logiciel antivirus effectue également une vérification «heuristique», en vérifiant les programmes en fonction des types de mauvais comportement pouvant indiquer un nouveau virus inconnu. Les programmes antivirus
analysent également d'autres types de fichiers pouvant contenir des virus. Par exemple, un fichier d'archive. zip peut contenir des virus compressés ou un document Word peut contenir une macro malveillante. Les fichiers sont analysés chaque fois qu'ils sont utilisés - par exemple, si vous téléchargez un fichier EXE, il sera analysé immédiatement, avant même que vous l'ouvriez.
Il est possible d'utiliser un antivirus sans contrôle sur accès, mais ce n'est généralement pas une bonne idée - les virus qui exploitent les failles de sécurité dans les programmes ne seraient pas détectés par le scanner. Après qu'un virus a infecté votre système, il est beaucoup plus difficile à enlever.(Il est également difficile de s'assurer que le logiciel malveillant a été complètement supprimé.)
Analyses complètes du système
En raison de l'analyse à l'accès, il n'est généralement pas nécessaire d'exécuter des analyses du système complet. Si vous téléchargez un virus sur votre ordinateur, votre programme antivirus le remarquera immédiatement - il n'est pas nécessaire de lancer manuellement une analyse en premier.
Les analyses de système complet peuvent être utiles pour certaines choses, cependant. Une analyse complète du système est utile lorsque vous venez d'installer un programme antivirus: elle garantit qu'aucun virus n'est inactif sur votre ordinateur. La plupart des programmes antivirus configurent des analyses système complètes programmées, souvent une fois par semaine. Cela garantit que les fichiers de définition de virus les plus récents sont utilisés pour analyser votre système à la recherche de virus inactifs.
Ces analyses de disque complet peuvent également être utiles lors de la réparation d'un ordinateur. Si vous souhaitez réparer un ordinateur déjà infecté, il est utile d'insérer son disque dur sur un autre ordinateur et d'effectuer une analyse complète du système pour rechercher des virus( si vous ne réinstallez pas complètement Windows).Cependant, vous n'avez généralement pas besoin d'exécuter vous-même les analyses système complètes lorsqu'un programme antivirus vous protège déjà: il analyse en arrière-plan et effectue ses propres analyses régulières du système complet. Définitions de virus
Votre logiciel antivirus s'appuie sur des définitions de virus pour détecter les logiciels malveillants. C'est pourquoi il télécharge automatiquement les nouveaux fichiers de définition mis à jour, une fois par jour ou même plus souvent. Les fichiers de définition contiennent des signatures pour les virus et autres logiciels malveillants qui ont été rencontrés dans la nature. Lorsqu'un programme antivirus analyse un fichier et remarque que le fichier correspond à un logiciel malveillant connu, le programme antivirus arrête l'exécution du fichier et le met en quarantaine. En fonction des paramètres de votre programme antivirus, le programme antivirus peut supprimer automatiquement le fichierou vous pouvez autoriser le fichier à s'exécuter de toute façon, si vous êtes sûr que c'est un faux positif.
Les entreprises antivirus doivent continuellement se tenir au courant des derniers logiciels malveillants, en publiant des mises à jour de définitions qui garantissent que les logiciels malveillants sont interceptés par leurs programmes. Les laboratoires antivirus utilisent une variété d'outils pour désassembler les virus, les exécuter dans des sandbox et publier des mises à jour en temps opportun pour garantir la protection des utilisateurs contre les nouveaux logiciels malveillants.
Heuristics
Les programmes antivirus utilisent également des heuristiques. Les heuristiques permettent à un programme antivirus d'identifier des types de malwares nouveaux ou modifiés, même sans fichier de définition de virus. Par exemple, si un programme antivirus remarque qu'un programme s'exécutant sur votre système tente d'ouvrir chaque fichier EXE de votre système, l'infectant en y écrivant une copie du programme d'origine, le programme antivirus peut détecter ce programme comme un nouveau,type inconnu de virus.
Aucun programme antivirus n'est parfait. Les heuristiques ne peuvent pas être trop agressives, ou ils vont marquer les logiciels légitimes comme des virus.
False Positives
En raison de la grande quantité de logiciels existants, il est possible que les programmes antivirus puissent parfois dire qu'un fichier est un virus alors qu'il s'agit en fait d'un fichier totalement sécurisé.C'est ce qu'on appelle un «faux positif». À l'occasion, les sociétés antivirus font même des erreurs telles que l'identification de fichiers système Windows, de programmes tiers populaires ou de leurs propres fichiers de programme antivirus en tant que virus. Ces faux positifs peuvent endommager les systèmes des utilisateurs - de telles erreurs finissent généralement dans les nouvelles, lorsque Microsoft Security Essentials a identifié Google Chrome comme étant un virus, AVG a endommagé les versions 64 bits de Windows 7 ou Sophos s'est identifié comme malware.
L'heuristique peut également augmenter le taux de faux positifs. Un antivirus peut remarquer qu'un programme se comporte de la même manière qu'un programme malveillant et l'identifier comme un virus.
Malgré cela, les faux positifs sont assez rares en usage normal. Si votre antivirus indique qu'un fichier est malveillant, vous devez généralement le croire. Si vous n'êtes pas sûr qu'un fichier est réellement un virus, vous pouvez essayer de le télécharger sur VirusTotal( qui appartient maintenant à Google).VirusTotal analyse le fichier avec une variété de produits antivirus différents et vous indique ce que chacun en dit.
Différents programmes antivirus ont des taux de détection différents, auxquels sont associées les définitions de virus et les heuristiques. Certaines sociétés antivirus peuvent avoir des heuristiques plus efficaces et libérer plus de définitions de virus que leurs concurrents, ce qui augmente le taux de détection.
Certaines organisations effectuent des tests réguliers de programmes antivirus comparés les uns aux autres, en comparant leurs taux de détection en utilisation réelle. AV-Comparitives publie régulièrement des études qui comparent l'état actuel des taux de détection d'antivirus. Les taux de détection ont tendance à fluctuer avec le temps - il n'y a pas de meilleur produit qui soit toujours au sommet. Si vous cherchez vraiment à voir à quel point un programme antivirus est efficace et quels sont les meilleurs, les études de taux de détection sont l'endroit à regarder.
Test d'un programme antivirus
Si vous voulez tester si un programme antivirus fonctionne correctement, vous pouvez utiliser le fichier de test EICAR.Le fichier EICAR est un moyen standard de tester les programmes antivirus - il n'est pas réellement dangereux, mais les programmes antivirus se comportent comme si c'était dangereux, l'identifiant comme un virus. Cela vous permet de tester les réponses du programme antivirus sans utiliser de virus actif.
Les programmes antivirus sont des logiciels compliqués, et des livres épais pourraient être écrits sur ce sujet - mais j'espère que cet article vous a mis au courant des bases.