Je pense que l'anti-virus serait capable de déterminer le virus avant même qu'il n'entre dans le système d'exploitation (Windows/Linux) en filtrant le port d'interface réseau lui-même. N'est-ce pas ?
Mais comment les virus échappent-ils aussi à ce filtrage ?
Merci d'avance,
Karthik Balaguru
C'est certainement possible, oui, certaines machines de bureau ont/avaient un AV basé sur le BIOS, mais le faire "dans la NIC" nécessiterait beaucoup plus de logique dans la NIC, donc un coût plus élevé, plus un mécanisme permettant de conserver les définitions de virus, généralement assez grandes, sur la puce également. De plus, ce système ne serait pas nécessairement plus sûr ou plus rapide que le système "in-cpu", mais il ralentirait presque certainement la carte réseau. Ce que beaucoup de produits AV, si ce n'est tous, peuvent faire, c'est regarder le trafic entrant via la pile IP et rechercher des virus - la mise à jour des définitions est rapide et facile car elle est spécifique au produit AV plutôt qu'au produit AV ET à la carte réseau.
J'espère avoir expliqué pourquoi l'antivirus basé sur les cartes réseau serait une mauvaise idée et pourquoi, s'il était mis en œuvre, il serait assez facile pour les nouveaux virus de ne pas être détectés par des défenses basées sur les cartes réseau obsolètes.
En passant, cela ressemble à une question de devoir - si c'est le cas, pouvez-vous nous revenir avec la note que vous obtenez ;)
Bien qu'il soit possible de détecter certains virus entrant dans le système au niveau du port, cela ne serait possible qu'avec un système de signatures. Cela signifie qu'il serait très facile d'éviter la détection. Il pourrait être utile comme complément à d'autres méthodes de détection, mais tout à fait inutile comme seule méthode de détection.
Par exemple, l'observation du trafic portuaire ne permettrait pas de détecter un virus intégré dans un fichier crypté, une méthode utilisée avec succès à de nombreuses reprises (du point de vue de ceux qui propagent le virus). Le fichier entier doit être apporté et décrypté pour que la détection ait une chance de réussir.
En fin de compte, le problème réside dans Alan Newell's célèbre preuve qu'il est finalement impossible de faire la différence entre ce qui est malveillant et ce qui est bénin dans un véritable système de Turing. (En partie à cause de l'ambiguïté de ce que sont les "bonnes" données et les "mauvaises" données).
Les scanners antivirus utilisent souvent le relais SMTP de votre fournisseur d'accès. Les systèmes IPS/IDS contiennent de nombreuses signatures malveillantes qui peuvent avertir l'administrateur.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
