5

¿Es posible producir compiladores que verifiquen heurísticamente el comportamiento del malware? Si es posible, ¿por qué no se ha implementado? ¿Eso no ayudaría mucho a prevenir la producción de tales virus, me refiero a por qué esperar para detenerlos una vez que están por ahí?Compilador con AV integrado = ¿Sin desarrollo de virus?

Incluso si estas personas utilizan un compilador que no utiliza la "propuesta", construida en AV, AV personal podría detectar que el archivo y grado tan arriesgado (algo así como los certificados SSL)

Respuesta

11

Usted está haciendo una muchas suposiciones:

  • Que los escritores de virus no pudieron desactivar el AV incorporado de ningún compilador de fuente abierta (o incluso de fuente cerrada). Dado que DRM se rompe de manera constante y rápida, parece poco probable.
  • Que los creadores de virus no podían simplemente usar un compilador pre-AV existente.
  • Que los creadores de virus no pudieron crear su propio compilador no AV.
  • Que no hay programas legítimos que activen la heurística AV del compilador.
  • Que los escritores de compiladores de hoy en día pueden predecir y modelar con precisión todo el comportamiento AV actual y futuro con el fin de producir una heurística que sea remotamente efectiva.

Me parece que no es un principiante.

Su comentario sobre el uso de compiladores no AV es esencialmente "la firma de código", y ha sido una práctica común durante años (¿décadas?). La barrera allí, sin embargo, es la distribución de certificados y la elaboración de una lista razonable de firmantes de confianza. Son problemas lo suficientemente grandes como para que nadie haya encontrado una manera de resolverlos sin limitar severamente la utilidad de las computadoras.

Para obtener más información estrechamente relacionada con este tema, consulte this paper by Ken Thompson.

+3

Puntos razonables buddy. Con los primeros 4 puntos, por eso dije, si el "programa" final no se escanea, entonces no obtienen ningún tipo de "certificado de aprobación" cifrado. Si ese archivo se libera "sin marcar", el certificado faltará o será inexacto, lo que podría ser marcado como 'riesgoso' por otro AV en el extremo receptor, lo que resultará en un escaneo completo. – Carlos

+0

Ok, gracias por la información con tu actualización! tiene sentido – Carlos

+3

Incluso si resolvió el problema de distribución de certificados y el problema de quién confía, todavía se quedaría con el problema de que los creadores de virus deshabiliten la parte de comprobación del virus del compilador, pero no la marca-como -clear parte. – Mark

3
  • El AV existente generalmente funciona con un enfoque de lista negra. (Comparando las firmas de amenazas con los archivos.) Eso sería, por definición, casi inútil en una amenaza completamente nueva.

  • Cada operación que intente clasificar terminaría bloqueando un programa legítimo; si las operaciones no tenían un uso legítimo, los diseñadores del sistema operativo las eliminarían por razones de seguridad.

+0

Soy consciente de su primer punto, ya que estoy desarrollando un algoritmo AV genético en este momento para mi proyecto de pregrado y esa es una de las razones por las que decidí hacerlo (la comparación de firmas estáticas es el principal método utilizado actualmente para detectar qué OMI es bastante pobre). Sin embargo, hay heurística. – Carlos

Cuestiones relacionadas