1. casa
  2. Domanda e risposta
  3. Compilatore con AV incorporato = Nessun sviluppo di virus?

Compilatore con AV incorporato = Nessun sviluppo di virus?

2010-11-16 17 views
5

È possibile produrre compilatori che controllano euristicamente il comportamento del malware? Se è possibile perché non è stato implementato? Questo non aiuterebbe fortemente a prevenire la produzione di tali virus, voglio dire, perché aspettare di fermarli una volta che sono là fuori?Compilatore con AV incorporato = Nessun sviluppo di virus?

Anche se queste persone utilizzano un compilatore che non utilizza il "proposto" costruita nel AV, AV personale potrebbe rilevare che e grado il file come rischioso (una specie di certificati SSL)

fonte

2010-11-16 Carlos

risposta

11

Stai facendo un molte ipotesi:

  • Che i produttori di virus non potevano disabilitare l'AV incorporato di qualsiasi compilatore open-source (o anche closed-source). Dato il modo in cui il DRM viene costantemente e rapidamente interrotto, ciò sembra improbabile.
  • Che gli autori di virus non possano semplicemente utilizzare un compilatore pre-AV esistente.
  • Che gli autori di virus non possano creare il proprio compilatore non AV.
  • Che non ci siano programmi legittimi che attivino l'euristica AV del compilatore.
  • Gli scrittori di compilatori di oggi possono prevedere con precisione e modellare tutti i comportamenti AV attuali e futuri al fine di produrre un'euristica che sia anche lontanamente efficace.

Sembra a me come se fosse un antipasto.

Il tuo commento sull'utilizzo di compilatori non AV è essenzialmente "code signing" ed è stato una pratica comune per anni (decenni?). La barriera lì, tuttavia, è la distribuzione dei certificati e la creazione di un elenco ragionevole di firmatari attendibili. Sono problemi abbastanza grandi che nessuno ha trovato un modo per risolverli senza limitare seriamente l'utilità dei computer.

Per ulteriori informazioni strettamente correlate a questo argomento, vedere this paper by Ken Thompson.

fonte

2010-11-16 21:51:34 Mark

+3

Punti equi amico. Con i primi 4 punti - questo è il motivo per cui ho detto - se il "programma" finale non viene scansionato, non ottengono una sorta di "certificato di passaggio" criptato. Se quel file viene rilasciato "deselezionato", il certificato sarà mancante o impreciso, che potrebbe quindi essere contrassegnato come "rischioso" da un altro AV sul lato ricevente, con conseguente scansione approfondita. – Carlos

+0

Ok, grazie per le informazioni con l'aggiornamento! ha senso – Carlos

+3

Anche se hai risolto il problema di distribuzione dei certificati e il problema di chi ti confida, rimarrebbe il problema dei produttori di virus che disabilitano la parte di controllo del virus del compilatore, ma non il mark-as -la parte pulita. – Mark

3

  • L'AV esistente generalmente funziona con un approccio di lista nera. (Confrontando le firme delle minacce con i file.) Sarebbe, per definizione, quasi inutile su una minaccia completamente nuova.

  • Ogni operazione che potresti provare a classificare finirebbe per bloccare un programma legittimo; se le operazioni non avevano un uso legittimo, i progettisti del sistema operativo le rimuovevano per motivi di sicurezza.

fonte

2010-11-16 22:31:10 jdmichal

+0

Sono consapevole del tuo primo punto, poiché sto sviluppando un algoritmo genetico AV al momento per il mio progetto di laurea e questo è uno dei motivi per cui ho deciso di farlo (il confronto delle firme statiche è il metodo principale utilizzato oggi per il rilevamento che IMO è piuttosto povero). Eppure c'è l'euristica. – Carlos

 Problemi correlati

  • Nessun problema correlato^_^