是否可以生成启发式检查恶意软件行为的编译器?如果可能,为什么没有实施?这不是非常有助于防止此类病毒的产生吗,我的意思是为什么要等到它们出现后才阻止它们?
即使这些人使用不使用内置 AV 的“建议”编译器,个人 AV 也可以检测到该文件并将文件评级为有风险(有点像 SSL 证书)
问问题
190 次
3 回答
11
你做了很多假设:
- 病毒作者无法禁用任何开源(甚至闭源)编译器的内置 AV。鉴于 DRM 是如何持续快速地被破坏的,这似乎不太可能。
- 病毒作者不能简单地使用现有的 pre-AV 编译器。
- 病毒作者无法创建自己的非 AV 编译器。
- 没有合法的程序会触发编译器的 AV 启发式。
- 今天的编译器编写者可以准确地预测和建模所有当前和未来的 AV 行为,以产生甚至远程有效的启发式方法。
在我看来,这是一个非首发。
您对使用非 AV 编译器的评论本质上是“代码签名”,并且多年来(几十年?)一直是一种常见做法。然而,那里的障碍是证书的分发,并提出一个合理的可信签名者列表。它们是足够大的问题,没有人找到解决它们的方法,同时又不严重限制计算机的实用性。
有关与该主题密切相关的更多信息,请参阅Ken Thompson 的这篇论文。
于 2010-11-16T21:51:34.450 回答
3
现有的 AV 通常采用黑名单方法。(将威胁签名与文件进行比较。)根据定义,这对于全新的威胁几乎毫无用处。
您可以尝试分类的每个操作最终都会阻止合法程序;如果这些操作没有合法用途,操作系统设计者会出于安全原因将其删除。
于 2010-11-16T22:31:10.920 回答
3
有Ken Thompson的经典论文《对信任的思考》。
于 2010-11-16T23:02:05.383 回答