マルウェアの動作をヒューリスティックにチェックするコンパイラを作成することは可能ですか? 可能であれば、なぜ実装されていないのですか? それは、そのようなウイルスの生成を防ぐのに非常に役立つのではないでしょうか。
これらの人々が「提案された」組み込みの AV を使用しないコンパイラを使用している場合でも、個人の AV はそれを検出し、ファイルを危険として分類する可能性があります (SSL 証明書のようなもの)。
3 に答える
11
あなたは多くの仮定をしています:
- ウイルス作成者は、オープンソース (またはクローズドソース) コンパイラの組み込み AV を無効にすることができませんでした。DRM が一貫して急速に破られていることを考えると、これはありそうもないようです。
- ウイルス作成者は、既存のウイルス対策以前のコンパイラを単純に使用することはできませんでした。
- ウイルス作成者が独自の非 AV コンパイラを作成できなかったこと。
- コンパイラの AV ヒューリスティックをトリガーする正当なプログラムがないこと。
- 今日のコンパイラ作成者は、現在および将来のすべての AV 動作を正確に予測およびモデル化して、リモートでさえ効果的なヒューリスティックを生成できます。
それは非スターターのように私には思えます。
非 AV コンパイラの使用に関するあなたのコメントは、本質的に「コード署名」であり、何年も (何十年も?) 共通の慣行となっています。ただし、そこでの障壁は、証明書の配布と、信頼できる署名者の妥当なリストの作成です。それらは非常に大きな問題であるため、コンピュータの有用性を大幅に制限することなく解決する方法を誰も見つけていません。
この主題に密接に関連するさらに詳しい情報については、Ken Thompson によるこの論文を参照してください。
于 2010-11-16T21:51:34.450 に答える
3
Ken Thompson による古典的な論文 " Reflections on Trusting Trust " があります。
于 2010-11-16T23:02:05.383 に答える
3
既存の AV は、通常、ブラックリスト アプローチで機能します。(脅威シグネチャをファイルと比較します。) それは定義上、まったく新しい脅威に対してはほとんど役に立ちません。
分類しようとするすべての操作は、正当なプログラムをブロックすることになります。操作に正当な用途がない場合、OS 設計者は安全上の理由からそれらを削除します。
于 2010-11-16T22:31:10.920 に答える