→ Распространение вирусов

| No TrackBacks

Еще в 1985 году Ф. Коэн показал, что:
1. Существует машина (Тьюринга), для которой любая последовательность символов на ленте является вирусом (то есть, через некоторое количество шагов на ленте появится "копия" этой последовательности).
2. Существует машина, для которой любая последовательность символов не является вирусом.

Из этого факта, применительно к современным реалиям, следует довольно простой вывод. Чтобы остановить распространение вирусов достаточно ввести запрет на создание (изменение) исполняемых файлов. Очевидным результатом является невозможность несанкционированного создания файлов и последующего запуска. Не нужны антивирусные базы, так как борьба осуществляется не с проявлениями проблемы, а с самой причиной.
С другой стороны, данный метод сведет на нет лишь распространение вирусов, но он не затрагивает вопросов несанкционированного исполнения кода на целевой системе (эксплоиты). То есть, компьютер остается зараженным до последующей перезагрузки.

Что же касается практического использования, возможна реализация через перехват системных вызовов создания / записи файлов, а также составление списка доверенных приложений, которым разрешено создание исполняемых файлов (файловые менеджеры, компоновщики), недоверенных приложений (некоторые серверные процессы) и остальных, для которых, при попытке создания исполняемого файла, разрешение будет спрашиваться у пользователя.
Тут очевидны проблемы: как гарантированно отличать исполняемые файлы от прочих и как не быть слишком навязчивым по отношению к пользователю.

No TrackBacks

TrackBack URL: http://smokedchicken.org/m/mt-tb.cgi/15

About this Entry

This page contains a single entry by Павел Збицкий published on January 10, 2010 3:30 PM.

Обновился Penetration Testing Framework was the previous entry in this blog.

Конкурентная борьба is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.