Page d'accueil » comment » Comment fonctionne un logiciel antivirus

    Comment fonctionne un logiciel antivirus

    Les programmes antivirus sont de puissants logiciels indispensables sur les ordinateurs Windows. Si vous vous êtes déjà demandé comment les programmes antivirus détectent les virus, ce qu'ils font sur votre ordinateur et si vous devez effectuer des analyses système régulières, lisez la suite..

    Un programme antivirus est un élément essentiel d’une stratégie de sécurité multicouche - même si vous êtes un utilisateur d’ordinateur intelligent, le flot constant de vulnérabilités des navigateurs, des plug-ins et du système d’exploitation Windows lui-même confère une importance particulière à la protection antivirus..

    Analyse à l'accès

    Un logiciel antivirus s'exécute en arrière-plan sur votre ordinateur, vérifiant chaque fichier que vous ouvrez. Cela s'appelle généralement le contrôle sur accès, le contrôle en arrière-plan, le contrôle des résidents, la protection en temps réel ou autre chose, selon votre programme antivirus..

    Lorsque vous double-cliquez sur un fichier EXE, vous pouvez avoir l'impression que le programme est lancé immédiatement, mais ce n'est pas le cas. Votre logiciel antivirus vérifie d'abord le programme, en le comparant à des virus, vers et autres types de programmes malveillants connus. Votre logiciel antivirus effectue également une vérification «heuristique», recherchant dans les programmes le type de mauvais comportement pouvant indiquer un nouveau virus inconnu..

    Les programmes antivirus analysent également d’autres types de fichiers pouvant contenir des virus. Par exemple, un fichier d'archive .zip peut contenir des virus compressés ou un document Word peut contenir une macro illicite. Les fichiers sont analysés chaque fois qu'ils sont utilisés - par exemple, si vous téléchargez un fichier EXE, il sera immédiatement analysé, avant même de l'ouvrir..

    Il est possible d'utiliser un antivirus sans analyse sur accès, mais ce n'est généralement pas une bonne idée: les virus qui exploitent des failles de sécurité dans les programmes ne seraient pas détectés par le scanner. Une fois qu'un virus a infecté votre système, il est beaucoup plus difficile à éliminer. (Il est également difficile d’être sûr que le malware a été complètement supprimé.)

    Analyses complètes du système

    En raison du contrôle sur accès, il n'est généralement pas nécessaire d'exécuter des contrôles complets du système. Si vous téléchargez un virus sur votre ordinateur, votre programme antivirus le remarquera immédiatement - vous n'avez pas besoin de lancer manuellement une analyse.

    Les analyses complètes du système peuvent toutefois être utiles pour certaines choses. Une analyse complète du système est utile lorsque vous venez d'installer un programme antivirus - elle garantit qu'aucun virus n'est en sommeil sur votre ordinateur. La plupart des programmes antivirus configurent des analyses système complètes planifiées, souvent une fois par semaine. Cela garantit que les derniers fichiers de définition de virus sont utilisés pour analyser votre système pour détecter les virus en veille..

    Ces analyses complètes du disque peuvent également être utiles lors de la réparation d’un ordinateur. Si vous souhaitez réparer un ordinateur déjà infecté, il est utile d’insérer son disque dur dans un autre ordinateur et d’effectuer une analyse complète du système afin de détecter la présence de virus (si la réinstallation de Windows n’est pas complète). Cependant, vous n'avez généralement pas à exécuter vous-même des analyses complètes du système lorsqu'un programme antivirus vous protège déjà: il effectue toujours une analyse en arrière-plan et effectue ses propres analyses régulières et complètes du système complet..

    Définitions de virus

    Votre logiciel antivirus s'appuie sur des définitions de virus pour détecter les logiciels malveillants. C'est pourquoi il télécharge automatiquement les nouveaux fichiers de définition mis à jour - une fois par jour ou même plus souvent. Les fichiers de définition contiennent des signatures pour les virus et autres logiciels malveillants rencontrés à l'état sauvage. Lorsqu'un programme antivirus analyse un fichier et constate que celui-ci correspond à un programme malveillant connu, le programme antivirus arrête l'exécution du fichier et le met en "quarantaine". Selon les paramètres de votre programme antivirus, il peut supprimer automatiquement le fichier. ou vous pourrez peut-être laisser le fichier s'exécuter de toute façon, si vous êtes sûr qu'il s'agit d'un faux positif..

    Les éditeurs d’antivirus doivent continuellement se tenir au courant des derniers logiciels malveillants, en publiant des mises à jour de définitions qui garantissent que les logiciels malveillants sont capturés par leurs programmes. Les laboratoires antivirus utilisent divers outils pour désassembler les virus, les exécuter dans des bacs à sable et publier des mises à jour ponctuelles qui garantissent que les utilisateurs sont protégés du nouveau programme malveillant..

    Les heuristiques

    Les programmes antivirus utilisent également des méthodes heuristiques. Les heuristiques permettent à un programme antivirus d'identifier les types de programmes malveillants nouveaux ou modifiés, même sans fichier de définition de virus. Par exemple, si un programme antivirus constate qu'un programme exécuté sur votre système tente d'ouvrir tous les fichiers EXE de votre système, en l'infectant en y écrivant une copie du programme d'origine, le programme antivirus peut détecter ce programme en tant que nouveau fichier. type inconnu de virus.

    Aucun programme antivirus n'est parfait. Les heuristiques ne peuvent pas être trop agressives ou elles marqueront les logiciels légitimes comme des virus.

    Faux positifs

    En raison de la grande quantité de logiciels disponibles, il est possible que les programmes antivirus disent parfois qu'un fichier est un virus alors qu'il s'agit d'un fichier totalement sûr. Cela s'appelle un «faux positif». Parfois, les éditeurs d'antivirus commettent même des erreurs en identifiant les fichiers système Windows, les programmes tiers populaires ou leurs propres fichiers de programme antivirus. Ces faux positifs peuvent endommager les systèmes des utilisateurs - de telles erreurs finissent généralement dans les nouvelles, comme lorsque Microsoft Security Essentials identifiait Google Chrome comme un virus, les versions 64 bits de Windows 7 endommagées par AVG ou que Sophos s'identifiait lui-même comme un malware..

    Les heuristiques peuvent également augmenter le taux de faux positifs. Un antivirus peut remarquer qu'un programme se comporte de la même manière qu'un programme malveillant et l'identifier comme un virus.

    Malgré cela, les faux positifs sont assez rares en utilisation normale. Si votre antivirus dit qu'un fichier est malveillant, vous devriez généralement le croire. Si vous n'êtes pas sûr qu'un fichier est réellement un virus, vous pouvez essayer de le télécharger sur VirusTotal (qui appartient maintenant à Google). VirusTotal analyse le fichier avec différents produits antivirus et vous indique ce que chacun en dit..

    Taux de détection

    Les différents programmes antivirus ont des taux de détection différents, qui impliquent à la fois des définitions de virus et des méthodes heuristiques. Certaines sociétés antivirus peuvent proposer des méthodes heuristiques plus efficaces et diffuser davantage de définitions de virus que leurs concurrents, ce qui entraîne un taux de détection plus élevé..

    Certaines organisations effectuent des tests réguliers des programmes antivirus les uns par rapport aux autres, en comparant leurs taux de détection dans le monde réel. AV-Comparitives publie régulièrement des études comparant l'état actuel des taux de détection des antivirus. Les taux de détection ont tendance à fluctuer avec le temps - il n’existe pas de meilleur produit qui soit toujours au top. Si vous voulez vraiment savoir à quel point un programme antivirus est efficace et quels sont les meilleurs sur le marché, vous devez vous renseigner sur les taux de détection..

    Test d'un programme antivirus

    Si vous souhaitez vérifier si un programme antivirus fonctionne correctement, vous pouvez utiliser le fichier de test EICAR. Le fichier EICAR est un moyen standard de tester les programmes antivirus. Il n'est pas réellement dangereux, mais les programmes antivirus se comportent comme s'ils étaient dangereux et l'identifiaient en tant que virus. Cela vous permet de tester les réponses du programme antivirus sans utiliser de virus vivant..


    Les programmes antivirus sont des logiciels compliqués, et des livres volumineux pourraient être écrits sur ce sujet - mais j'espère que cet article vous a mis au courant des bases.