Auteur(s) : Eric Filiol
Editeur(s) : Springer Verlag France
Format du livre : Broché
Genre : Sécurité informatique
Date de sortie : 01-01-2009
Cet ouvrage fait suite au livre “Virus informatiques : théorie, pratique et applications (2ème édition)”, disponible sur T411 ici.
Cet ouvrage traite de techniques avancées de la virologie informatique selon une double perspective: l’analyse de la défense antivirale et les différentes phases d’une attaque à l’aide d’un code malveillant. Le point de vue adopté est celui de l’attaquant dans la mesure où c’est le seul qui permet réellement à celui qui a la responsabilité de défendre un système, de comprendre ce qui peut se passer et d’envisager les solutions à mettre en œuvre.
L’approche retenue fait intervenir l’utilisation de systèmes booléens originaux, la théorie de la complexité et la théorie de la calculabilité. À partir de modèles généraux, l’étude et l’identification des instances les plus complexes du problème de la détection permettent de déterminer comment une attaque quasi-indétectable peut être conçue.
L’auteur montre ainsi ce que sera le futur de la virologie informatique et pourquoi les réponses techniques seront toujours insuffisantes, voire inutiles, si elles ne sont pas systématiquement accompagnées d’une politique de sécurité cohérente avec le niveau de protection souhaité.
Sommaire :
Premiere partie – Fondements theoriques 3
1 Introduction 3
2 L’analyse de la defense 7
2.1 Introduction 7
2.2 L’analyse de forme 8
2.3 Modele mathematique de l’analyse de forme 11
2.3.1 Definition d’un schema de detection 12
2.3.2 Proprietes des schema de detection 14
2.4 Le probleme de l’extraction 20
2.4.1 L’extraction de schemas de detection 20
2.4.2 Approche nai’ve : algorithme E-l 20
2.4.3 Approche par apprentissage de DNF : algorithme E-2 . 21
2.4.4 Exemples de fonctions de detection 25
2.5 Analyse des logiciels antivirus 28
2.5.1 Transinformation 28
2.5.2 Rigidite du schema 28
2.5.3 Efficacite 29
2.6 Schema de detection securise 29
2.6.1 Constructions combinatoires et probabilistes 30
2.6.2 Analyse mathematique 34
2.6.3 Implementations et performances 36
2.7 L’analyse comportementale 37
2.7.1 Modele de strategic de detection 38
2.7.2 Methode devaluation de la detection
comportementale 40
2.7.3 Resultats experimentaux et interpretation 44
2.8 Problemes ouverts et conclusion 46
Exercices 47
3 Modelisation statistique de la detection virale 49
3.1 Introduction 49
3.2 Les tests statistiques 51
3.2.1 Le cadre d’etude 51
3.2.2 Definition d’un test statistique 52
3.3 Modelisation statistique de la detection antivirale 56
3.3.1 Definition du modele 57
3.3.2 Modele de detection avec loi alternative connue 59
3.3.3 Modele de detection avec loi alternative inconnue . . . . 62
3.4 Techniques de detection et tests statistiques 64
3.4.1 Cas de la recherche classique de signature 65
3.4.2 Cas general des schemas ou des strategies de
detection 66
3.4.3 Autres cas 67
3.5 Les techniques heuristiques 67
3.5.1 Definition des heuristiques 67
3.5.2 Analyse heuristique antivirale 68
3.6 La simulabilite des tests statistiques 75
3.6.1 La simulabilite forte 76
3.6.2 La simulabilite faible 77
3.6.3 Application : contourner la detection des flux 78
3.6.4 Application : contourner le controle du contenu 80
3.6.5 Application : leurrer la detection virale 83
3.6.6 Un modele statistique du resultat d’indecidabilite de Cohen 87
3.7 Conclusion 89
Exercices 89
4 Les virus k-aires ou virus combines 91
4.1 Introduction 91
4.2 Formalisation theorique 93
4.2.1 Concepts preliminaries 95
4.2.2 Modelisation par fonctions booleennes 95
4.2.3 Cas des virus traditionnels (modele de Cohen) 100
4.3 Codes /c-aires sequentiels 112
4.3.1 Le ver POC_SERIAL 113
4.3.2 Modele theorique 114
4.4 Codes k-aires en mode parallele 118
4.4.1 Le virus PARALLELE_4 118
4.4.2 Modele theorique 119
4.5 Conclusion 120
Exercices 121
Deuxieme partie – Le cycle d’une attaque virale 127
5 Introduction 127
6 Resister a la detection : la mutation de code 131
6.1 Introduction 131
6.2 Complexity de la detection des virus polymorphes 133
6.2.1 Le probleme SAT 134
6.2.2 Le resultat de Spinellis 135
6.2.3 Resultats generaux 137
6.3 Les techniques de mutation de code 139
6.3.1 Les techniques de polymorphisme 140
6.3.2 Les techniques de metamorphisme 148
6.4 Polymorphisme, grammaires formelles et automates finis . . . 163
6.4.1 Grammaires formelles 163
6.4.2 Polymorphisme et langages formels 166
6.4.3 Detection et reconnaissance de langages 167
6.4.4 Mutation absolue a detection indecidable 172
6.4.5 Le probleme du mot 172
6.4.6 Mutation de code et probleme du mot : le moteur PBMOT175
6.5 Conclusion 177
Exercices 178
7 Resister a la detection : la furtivite 181
7.1 Introduction 181
7.2 La furtivite « classique » 183
7.2.1 Le virus Stealth 183
7.2.2 Les techniques de furtivite « modernes » 188
7.3 La technologie des rootkits 191
7.3.1 Principes generaux 191
7.3.2 Le rootkit Subvirt 192
7.3.3 Le rootkit BluePill 199
7.4 Modeliser la furtivite 202
7.4.1 Steganographie et theorie de l’information 203
7.4.2 Securite de la furtivite 204
7.5 Conclusion 206
8 Resister a l’analyse : le blindage viral 209
8.1 Introduction 209
8.2 Le probleme de l’obfuscation de code 213
8.2.1 Notations et definitions 214
8.2.2 Formalisation de Barak et al. et variations 215
8.2.3 La tau-obfuscation 217
8.3 Le virus Whale 218
8.3.1 Les mecanismes d’infection 219
8.3.2 La lutte anti-antivirale 220
8.3.3 Conclusion 224
8.4 Le blindage total : les codes Bradley 225
8.4.1 Generation environnementale de clefs 226
8.4.2 Technique generique de blindage total : les codes bradley 227
8.4.3 Analyse du code viral et cryptanalyse 231
8.4.4 Scenarii divers a bases de codes Bradley 232
8.5 La technique Aycock et al 237
8.5.1 Le principe 238
8.5.2 Analyse de la methode 240
8.6 Obfuscation et blindage probabilistes 241
8.6.1 Une approche unifiee de la protection de code 243
8.6.2 Chiffrement probabiliste 244
8.6.3 Transformation de donnees 248
8.7 Conclusion 249
Exercices 250
Conclusion 255
