Antivirus et analyses "On-access"

Antivirus et analyses "On-access"

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clé:
virus, antivirus, analyses, on-access, sur accès
à l'ouverture, temps réel, à la volée, on the fly
bouclier résident, real time, scan, scanning
resident shield, Auto-protect, autoprotect
auto-protection, background guard
 
 
L'expression "On-access" est utilisée pour désigner l'un des comportements des antivirus, des anti-spywares, des pare-feux, des proxy filtrant, des contrôleurs d'intégrité et autres anti-malwares. Il s'agit de la capacité qu'a l'outil de sécurité informatique d'analyser un objet "à la volée" ("en temps réel", "in real time", "on the fly") au moment même où la manipulation de cet objet est demandée et juste avant que celui-ci ne soit ouvert. Pour les pare-feux ou les proxy il s'agit d'analyser un flux en temps réel. Pour les contrôleurs d'intégrité il s'agit de re-calculer la signature (MD5, SHA1...) de l'objet et de la comparer à celle de référence.

Ce comportement est le plus important des outils de sécurité. Il s'interpose automatiquement entre une demande d'accès à une ressource et l'ouverture de cette ressource (insertion d'un CD, ouverture d'un fichier, ouverture d'une ressource sur le Web, ouverture d'un e-mail etc. ...).

Le comportement "On-access" est un comportement en haute priorité et la tâche qui l'assure ne "tourne" pas du tout "en permanence et en arrière plan", ni même au premier plan, mais est inactive (dans un état d'attente) et est sollicitée en temps réel "sur interruption" : les couches (les APIs) de Windows d'appels aux objets (fichiers...) sont crochetées (modifiées par implantation d'un "hook") lors de l'installation d'un antivirus etc. ... et les demandes d'accès, par appel aux APIs, sont détournées - les objets de ces appels sont soumis aux analyses instantanées et les réponses sont passées aux APIs, avec autorisation ou refus d'obtempérer, et le module "On-access" (temps réel) retourne dans son état d'attente. L'utilisateur est alerté, généralement par une fenêtre de type "pop-up" lui donnant plus ou moins d'informations sur la raison du rejet - il peut être demandé à l'utilisateur quelle décision prendre (ouvrir tout de même, mettre en zone de quarantaine pour analyse approfondie ultérieure, détruire l'objet s'il s'agit d'un fichier local etc. ...).

Le comportement "On-access" est l'inverse du comportement "On-demand" dans lequel l'analyse d'un objet (ou d'un ensemble d'objets - un répertoire - ou d'un ordinateur entier) est faite à la demande de l'utilisateur, à un moment quelconque mais pas au moment ou le système d'exploitation va accéder à l'objet pour l'ouvrir. Le comportement "On-demand" est de peu d'intérêt (exemple : nous disposons d'une collection de milliers de parasites divers sur nos disques, en ligne, sans que cela ne gène en quoi que ce soit le fonctionnement de nos machines : une analyse "On-access" serait provoquée si nous demandions l'ouverture de l'un de ces fichiers sinon ils peuvent rester là sans aucune incidence - seule une analyse "On-demand" balayant la totalité de nos partitions les découvrirait et tant qu'ils ne sont pas "ouvert" (installés - activés) ils sont totalement inoffensifs raison pour laquelle les tests comparatifs "On-demand" n'ont aucune utilité.

Divers noms ou expressions sont synonymes de "On-access" :
  • On-access
  • A la volée
  • En temps réel
  • Sur accès
  • Bouclier résident
  • On the fly
  • In real time,
  • Real time scanning
  • On-access scanning
  • Resident shield
  • Etc. ...

D'autres noms ou expressions sont parfois utilisés mais avec beaucoup moins de bonheur :
  • BackGround Guard
    Cette expression désigne normalement un fonctionnement "en arrière plan" d'un processus qui "tourne" sans arrêt, c'est-à-dire le fonctionnement en permanence et en basse priorité d'une tâche non "critique" et sans urgence ce qui est exactement l'inverse du comportement "On-access". Ce comportement peut être rapproché des faux comportement en temps réel de certains outils, comme l'excellent SpyBot Search & Destroy dont le module "pseudo temps réel" appelé "Tea-Timer", est une "tâche de fond" qui tourne sans arrêt, consomme des ressources et détecte à posteriori des modifications, qu'elle signale alors, en demandant s'il faut restaurer la version initiale - la modification hostile ayant bien eu lieu et n'ayant pas été empêchée (il s'agit, en réalité, d'un comportement "On-demand" qui tourne sans arrêt, ou toutes les 2 ou 3 minutes etc. ...).

  • Auto-protect, autoprotect, auto-protection
    Ces expressions ne doivent désigner que la capacité qu'à un outil d'interdire qu'on le modifie. Cela n'a rien à voir avec la capacité d'analyser un objet tiers. Par exemple, la capture d'écran suivante est celle d'un comportement de type "Auto-protection" :



Nota :
Quelques outils gratuits disposent de fonctions "On-access" mais c'est généralement les version commerciales (payantes, dites "Pro") qui incorporent ce dispositif, les versions gratuites étant de simples analyseurs à la demande "On-demand". Lire :
On-demand
Les tests comparatifs "On-demand" sont-ils significatifs ?


Ressources externes sur la notion "On-access"
Avfs: An On-Access Anti-Virus File System




Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
Historique
 
   
Rédigé en écoutant :
Music