Компилятор со встроенным AV = Нет вирусов? - PullRequest
Новая
       41

Компилятор со встроенным AV = Нет вирусов?

5 голосов
/ 17 ноября 2010

Можно ли создавать компиляторы, которые эвристически проверяют наличие вредоносных программ? Если это возможно, почему это не было реализовано? Разве это не поможет предотвратить производство таких вирусов, я имею в виду, зачем ждать, чтобы остановить их, как только они появятся?

Даже если эти люди используют компилятор, который не использует «предложенный» встроенный AV, персональный AV может обнаружить это и оценить файл как рискованный (вроде SSL-сертификатов)

Ответы [ 3 ]

11 голосов
/ 17 ноября 2010

Вы делаете много предположений:

  • То, что создатели вирусов не могли отключить встроенный AV любого компилятора с открытым исходным кодом (или даже с закрытым исходным кодом).Учитывая, что DRM постоянно и быстро нарушается, это маловероятно.
  • То, что создатели вирусов не могли просто использовать существующий пре-AV-компилятор.
  • То, что создатели вирусов не могли создать своисобственный не-AV-компилятор.
  • что нет законных программ, которые бы запускали эвристику AV компилятора.
  • что современные авторы компилятора могут точно прогнозировать и моделировать все текущее и будущее поведение AV для того, чтобысоздать эвристику, которая даже удаленно эффективна.

Мне кажется, что это не стартер.

Ваш комментарий по поводу использования не-AV-компиляторов по сути является "подписанием кода", ибыла обычной практикой в ​​течение многих лет (десятилетий?).Однако препятствием является распространение сертификатов и составление разумного списка доверенных подписчиков.Это достаточно большие проблемы, и никто пока не нашел пути их решения без строгого ограничения полезности компьютеров.

Для получения дополнительной информации, тесно связанной с этой темой, см. эту статью Кена Томпсона .

3 голосов
/ 17 ноября 2010

Существует классическая статья Кена Томпсона " Размышления о доверии к доверию ".

3 голосов
/ 17 ноября 2010

  • Существующие AV обычно работают с черным списком.(Сравнение сигнатур угроз с файлами.) По определению, это было бы практически бесполезно для совершенно новой угрозы.

  • Каждая операция, которую вы могли бы попытаться классифицировать, в конечном итоге блокировала бы легитимную программу;если операции не имели законного использования, разработчики ОС удалили бы их из соображений безопасности.

...