Un LiveCD pour servir d'antivirus

Posté par  (site web personnel, Mastodon) . Modéré par Amaury.
Étiquettes :
0
18
mai
2004
Linux
Un autre "LiveCD" (distribution Linux bootable depuis un CD-ROM) fait son apparition : CHRONOMIUM sert à détecter et (si possible) éradiquer les virus Windows trouvés sur le disque dur. Les partitions NTFS sont supportées à travers l'utilisation de captive-ntfs et l'antivirus utilisé est clamav.

Comme clamav ne permet que d'identifier les virus et pas de les nettoyer, CHRONOMIUM est disponible en deux versions :
- la version "GPL" : CLAM AV uniquement, identification de l'infection
- la version "Community" (non-GPL) : CLAM AV et F-Prot (ce dernier, non GPL, est gratuit pour un usage personnel uniquement) CHRONOMIUM est basé sur une Knoppix 3.4 allégée aux alentours de 150Mo, avec mise a jour de la base de signature via internet, disquette ou disque dur. Le public visé est celui (très large ces temps ci) des utilisateurs de windows qui se retrouvent infectés sans savoir quoi faire.

Le but recherché et de leur apporter les moyens de se débrouiller seuls, à travers une interface tres simple (mode texte, francisée), et une procédure la plus automatisée possible en particulier pour la mise a jour de la base de signatures virale.

Aller plus loin

  • # Dans le même genre,

    Posté par  . Évalué à 5.

    Il y a aussi le CD live de BitDefender (non libre) basé sur Knoppix : http://www.bitdefender.com/bd/site/products.php?p_id=40(...)

    • [^] # Au sujet de BitDefender

      Posté par  (site web personnel) . Évalué à 3.

      Bien que non libre, cette version de BitDefender marche pas trop mal (bien que j'ai eu quelques soucis avec le module du support NTFS)

      La possibilité de mise a jour des signatures avant un scan est un must. Par contre, j'ai cru vite voir que le certificat utilisé dans la console d'administration expirerait bientôt...

      Est ce que cela ne rendrait pas cette version (donc timebombée?)inutilisable sous peu?

      Bref : à vérifier.

      • [^] # Re: Au sujet de BitDefender

        Posté par  . Évalué à 4.

        Comme marqué dans la dépêche ;-) ,
        Chronomium permet de mettre à jour le(s) base(s) de signature(s) avant le scan.

    • [^] # Re: Dans le même genre,

      Posté par  (site web personnel, Mastodon) . Évalué à 6.

      Gros avantage de chronomium, la version GPL est GPL :)

      C'est à la communauté _que nous formons tous_ de savoir si ca vaux le coup de s'investir dans chronomium, à travers des bugs reports, des suggestions, etc... ou alors c'est plus constructif d'astiquer la communication de bitdefender, qui semble particulièrement efficace vu ces premiers commentaires....

    • [^] # Re: Dans le même genre,

      Posté par  . Évalué à 0.

      Je te rappelle juste qu'on n 'est pas sur 01net ...

      Questions: Qu'est ce qu'apporte Bitedefender à la communautée ?

      • [^] # Re: Dans le même genre,

        Posté par  . Évalué à 2.

        BitDefender, personellement j'en ai pas grand chose à faire. Je voulais juste apporter une info sur un CD que j'ai utilisé le week end dernier. Il y avait une question induite, personne ne l'a vu peut-être, pour les développeurs de Chromonium, c'est quelles sont les différences entre les deux ? De ce que j'ai compris :
        - licence GPL vs propriétaire (avantage Chromonium)
        - francisée (avantage Chromonium)
        Je pense qu'il y en a d'autres, est ce que Chromonium est basé sur Knoppix ? Est ce qu'on peut l'utiliser pour l'installer sur un disque dur ?
        En tout cas, c'est une très belle réalisation, et j'encourage vraiment ses concepteurs.

        • [^] # Re: Dans le même genre,

          Posté par  . Évalué à -1.

          Je me réponds moi-même, basée sur Knoppix et PAF dans le lezard...

        • [^] # Re: Dans le même genre,

          Posté par  (site web personnel, Mastodon) . Évalué à 5.

          le but est uniquement la désinfection: tu mets le CD dedans, tu boot, tu reboot, tu le retire. une installation n'aurais donc pas vraiment d'intéret :)

          • [^] # Re: Dans le même genre,

            Posté par  . Évalué à 1.

            C'est juste que je souhaiterais le laisser au cas où, chez des amis, en leur disant "tu pourras nettoyer toi même ton PC". Peut-être qu'un jour ils auront la bonne idée de se dire, "et si je l'installais ? " Et ça, ça serait vraiment bien...

            • [^] # Re: Dans le même genre,

              Posté par  (site web personnel, Mastodon) . Évalué à 5.

              cette distrib antivirus est surtout légère,rapide et simple d'emploi pour permettre de gérer la "crise virale" le mieux possible, avec le moins d'intervention humaine possible.
              Pour découvrir linux, mieux faut se tourner vers des liveCD plus complets (voir par exemple http://linuxfr.org/2004/05/13/16259.html(...) )

            • [^] # Re: Dans le même genre,

              Posté par  (Mastodon) . Évalué à 5.

              Ce que l'on pourrait fournir éventuellement serait une possibilité d'installer les antivirus utilisés sur le système cible, mais le plus simple est je pense de donner les URLs des sites, plus simple pour nous comme pour l'utilisateur, car il a les infos d'installation, la dernière version la FAQ etc...

              Si par "installer" tu penses à installer un système GNU/Linux, alors le but n'est pas le même, et on essaie de répondre à cette attente là avec l'autre live CD d'ANTESIS.org "ANTEMIUM Linux". CHRONOMIUM doit être le plus minimal possible et permettre de décontaminer une machine infectée le plus simplement et efficacement possible.


              Est à noter par ailleurs qu'il s'agit ici d'une version bêta, et que pour la tester plus avant nous n'avons pas ici des matériels et configurations suffisemment hétéroclites, mais la communauté, si elle y trouve son intérêt, et nous l'espérons, devrait donner un formidable coup de pouce au projet !

              Yth.

              • [^] # Re: Dans le même genre,

                Posté par  . Évalué à 0.

                Merci pour vos réponses, et encore bravo ! Une petite page de screenshot sur le site serait peut-être la bienvenue, étant donné que cela va surement être le premier système GNU\Linux que verront mes amis non-informaticiens et malheureusement windowsiens. Enfin bon, le projet est jeune :)

                • [^] # Re: Dans le même genre,

                  Posté par  (site web personnel, Mastodon) . Évalué à 2.

                  l'interface était juste du texte, les screenshots n'ont pas d'intéret :)
                  par contre une page pour expliquer simplement la logique de la désinfection serait la bienvenue, merci pour la suggestion :)
                  Comme le signale Yth ds son post ci dessus, cette version est une beta, et est donc susceptible de changer, pour s'améliorer, selon vos suggestions. Une fois que tout sera fixé, un tel petit guide sera bien évidemment la priorité :)

        • [^] # Re: Dans le même genre,

          Posté par  (site web personnel) . Évalué à 2.

          La différence est dans le module de deverminage.
          Chromonium tout comme Bitdefender necessite un module proprietaire pour la désinfection...

          Sinon, pour la version "detection" seulement, Chromonium est 100% GPL...

          Quoi que je me demande si le module captive-ntfs est bien libre et si c'est pas lui qui necessite la possession d'une licence microsoft quelconque pour utiliser le pilote NTFS de Microsoft....

          • [^] # Re: Dans le même genre,

            Posté par  (Mastodon) . Évalué à 5.

            A propos du captive-ntfs :
            - en lui-même il est entièrement GPL ;
            - il a besoin pour fonctionner de DLLs MS-Windows.

            Mais il est possible de rechercher ces dlls sur la machine en cours de décontamination, et d'utiliser ces dernières, sans les altérer, pour faire fonctionner le captive-ntfs. Cette utilisation entre dans les possibilités de la licence windows (on a demandé à un juriste, je n'ai pas exactement les détails), d'où le "sans les altérer" en fait :)

            La version GPL est donc bien 100% GPL, même si elle inclus le captive-ntfs.

            Yth.

            • [^] # Re: Dans le même genre,

              Posté par  . Évalué à 3.

              avec captive-ntfs il n'y a vraiment aucun danger pour les partition en cas d'eriture et d'effacement de fichier ?

              • [^] # Re: Dans le même genre,

                Posté par  (site web personnel, Mastodon) . Évalué à 3.

                Je ne crois pas que ca ait été observé, les principaux problemes résiduels étant liés a des memory leaks ou des débit en lecture/écriture assez faible. Il faut dire aussi parce que captive-ntfs n'a pas encore été testé a grande échelle. Dans le cadre des virus, il y a normalement relativement peu de fichiers a traiter, donc j'imagine que la probabilité d'avoir un probleme est faible, meme si elle serait très problématiques si des fichiers systemes de windows sont corrompu.

                Je crois qu'il ne faut pas se tromper de cible avec CHRONOMIUM: le but est d'arriver a désinfecter une machine qui ne marche plus, utiliser un antivirus pour nettoyer un disque est déjà une solution extrème, l'idéal étant que l'infection ne se fasse pas. A partir de la il y a toujours un risque. D'ailleurs il me semble qu'une relative à la "perte accidentelle de donnée" est mentionnée dans les EULA des antivirus.

                Enfin, en aucun cas un antivirus ne dispense de faire des sauvegardes très régulières... :)

              • [^] # Re: Dans le même genre,

                Posté par  (Mastodon) . Évalué à 5.

                Les drivers microsoft étant utilisés, il n'y a a priori pas plus de danger qu'en utilisant MS-Windows.
                Mais entre la théorie et la pratique...

                En pratique, le captive-ntfs remplit la ram et ne la rend pas, ce qui fait qu'au bout d'un moment il "explose" et ne fonctionne plus, il suffit alors de démonter la partition, et de la remonter. Après un certain nombre de tests, il s'avère que la partition ntfs après ce genre de crash n'est pas altérée, mais que certaines modifications effectuées (effacement, déplacement de fichier) ne le sont plus.

                C'est pour ça que les partitions ntfs sont d'abord scannée avec le driver du noyau, et que seulement après on tente de désinfecter uniquement les fichiers trouvés comme infectés, via le captive-ntfs.

                Ca fait plus de 3 mois que je fais des tests avec le captive-ntfs, et je n'ai jamais eu de problèmes de pertes de données, mais de temps en temps des opérations non effectuées.

                Voilà tout ce que je peux dire !

                Yth.

  • # La porte ouverte aux logiciles libres sur un OS propriétaire :)

    Posté par  . Évalué à 5.

    Comme je l'avais déjà sigalé lors de la première parution ici même (http://linuxfr.org/2004/04/21/16041.html(...)), c'est vraiment une très bonne initiative qui amha va permettre de faire rentrer un peu plus les logiciels libres dans les petits ordinateurs :)

    "tu vois ton pasGNU/windows... bah avec mon GNU/Linux... j'enleve les virus de ton pasGNU/windows... et si tu veux... je vire meme ton pasGNU/windows et je t'installe un GNU/Linux... et tu seras tranquil un moment avec les virus :)"

    longue vie à CHRONOMIUM ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.