Mann, du bist lustig... Eine Mini-Vorlesung über's Halteproblem. Na danke.

Okay, wart mal 'ne Sekunde, ich geb dir im Gegenzug 'nen kurzen proof sketch von Gödel I.

[3 Seiten später]

uffz.

Und jetzt Gödel II.

[Mehr oder weniger nochmal das selbe wie oben, aber jetzt komplett formalisiert. Dann zwei Zeilen die zu 'ner reductio ad absurdum führen, und fertig.]


..

Okay, mal ernst für 'ne Sekunde: AV sind nicht mein Fachgebiet. Aber ein kurzer Blick in WP und Google Scholar und ich finde
http://link.springer.com/article/10.1007%2Fs11416-006-0028-7
die erwähnen dass sie HMMs für eine Ähnlichkeitsanalyse verwenden.

Und ohne zu wissen wie gut die Erkennungsrate ist, oder welche kommerziellen Scanner sowas implementieren, kann ich schon mal frei Schnauze (alleine durch Kenntnis von HMMs) sagen dass (a) dein "Halteproblem" Argument komplett danebengreift wenn die Heuristik via statistische Ähnlichkeitsanalyse des Codes läuft, und (b) triviale "obfuscation" auch schon mal nicht mehr greift, weil ein sauber konstruiertes HMM Modell das mit hoher Wahrscheinlichkeit durchschauen sollte.

Und damit sind wir zurück beim Startpunkt:

Ich hab nie behauptet Heuristik klappt perfekt. Wüsste ich ehrlich gesagt auch nicht, wie schon gesagt: AV ist kein Fachgebiet von mir.

Aber du bist derjenige der sich ziemlich weit aus'm Fenster gelehnt hat mit, ich zitiere:
"Heuristik kannst du aufgrund des damit verbundenen Halteproblems vergessen."
Und genau diese Aussage, dass AV Heuristik wertlos ist, bedarf eben deutlich mehr Evidenz als deine allgemeinen Auslegung warum das Halteproblem es *prinzipiell* (aber zum Beispiel nicht notwendigerweise *praktisch*, in vielen Fällen) unmöglich macht, dass Schadsoftware durch Ausführungsanalyse bestimmt werden kann.


P.S. Das ganze Thema kann, m.E., deutlich schneller abgefertigt werden: Wer Bitcoin in mehr als trivialen Mengen besitzt, macht das nur auf einem anständig eingerichteten Linux (Zweit)Rechner. Und, just like that, sind 95% der Angriffsvektoren verschwunden.