1. дома
  2. Вопрос и ответ
  3. Компилятор со встроенным AV = Нет разработки вирусов?

Компилятор со встроенным AV = Нет разработки вирусов?

2010-11-16 16 views
5

Можно ли создавать компиляторы, которые эвристически проверяют поведение вредоносных программ? Если возможно, почему это не было реализовано? Разве это не помогло бы предотвратить производство таких вирусов, я имею в виду, зачем ждать, чтобы остановить их, когда они там?Компилятор со встроенным AV = Нет разработки вирусов?

Даже если эти люди используют компилятор, который не использует «предложил» встроенный AV, персональный AV может обнаружить, что и класс файл как рискованный (вроде как SSL сертификаты)

источник

2010-11-16 Carlos

ответ

11

Вы делаете много предположений:

  • Чтобы вирусописатели не могли отключить встроенный AV любых компиляторов с открытым исходным кодом (или даже с закрытым кодом). Учитывая, что DRM последовательно и быстро прерывается, это кажется маловероятным.
  • Чтобы вирусописатели не могли просто использовать существующий предварительный AV-компилятор.
  • Чтобы вирусописатели не могли создать свой собственный компилятор, отличный от AV.
  • Что нет законных программ, которые могли бы вызвать эвристику AV-модуля компилятора.
  • Современные компиляторы могут точно прогнозировать и моделировать все текущее и будущее поведение AV, чтобы создать эвристику, которая даже отдаленно эффективна.

Мне кажется, что это не стартер.

Ваш комментарий об использовании компиляторов, отличных от AV, по сути, является «подписание кода» и был распространенной практикой в ​​течение многих лет (десятилетий?). Однако барьером является распространение сертификатов и составление разумного списка доверенных подписчиков. У них достаточно большие проблемы, и никто не нашел способ их решения, но без ограничения использования компьютеров.

Более подробную информацию, касающуюся этой темы, см. this paper by Ken Thompson.

источник

2010-11-16 21:51:34 Mark

+3

Справедливые точки приятеля. С первыми 4 пунктами - вот почему я сказал - если окончательная «программа» не проверяется, то они не получают какой-то зашифрованный «сертификат прохождения». Если этот файл будет выпущен «непроверенным», тогда сертификат будет отсутствовать или неточен, что может быть помечено как «рискованное» другим AV на принимающей стороне, что приведет к тщательной проверке. – Carlos

+0

Хорошо, спасибо за информацию с обновлением ур! имеет смысл – Carlos

+3

Даже если вы решили проблему распространения сертификатов и проблему с доверием, вам все равно осталась бы проблема с вирусописателями, отключающими часть проверки на наличие вирусов в компиляторе, но не с меткой-как - очистить часть. – Mark

3

  • Существующий AV обычно работает с черным списком. (Сравнение сигнатур угроз с файлами.) Это было бы, по определению, почти бесполезным по совершенно новой угрозе.

  • Любая операция, которую вы можете попытаться классифицировать, приведет к блокировке законной программы; если операции не имеют законного использования, разработчики ОС удалят их по соображениям безопасности.

источник

2010-11-16 22:31:10 jdmichal

+0

Мне известно о вашем первом моменте, поскольку я разрабатываю генетический алгоритм AV на данный момент для моего проекта undergrad, и это одна из причин, почему я решил это сделать (статическое сопоставление подписи является основным методом, используемым сегодня для обнаружения, который IMO довольно беден). Но есть эвристика. – Carlos

3

Существует классическая бумага «Reflections on Trusting Trust» от Ken Thompson.

источник

2010-11-16 23:02:05 horsh

+1

Спасибо за приятеля ресурсов, хотя Марк также разместил его. Ill дать ему прочитать – Carlos

 Смежные вопросы

  • Нет связанных вопросов^_^