Hey oda.krell,
Okay, mal ernst für 'ne Sekunde: AV sind nicht mein Fachgebiet. Aber ein kurzer Blick in WP und Google Scholar und ich finde
http://link.springer.com/article/10.1007%2Fs11416-006-0028-7die erwähnen dass sie HMMs für eine Ähnlichkeitsanalyse verwenden.
Und ohne zu wissen wie gut die Erkennungsrate ist, oder welche kommerziellen Scanner sowas implementieren, kann ich schon mal frei Schnauze (alleine durch Kenntnis von HMMs) sagen dass (a) dein "Halteproblem" Argument komplett danebengreift wenn die Heuristik via statistische Ähnlichkeitsanalyse des Codes läuft, und (b) triviale "obfuscation" auch schon mal nicht mehr greift, weil ein sauber konstruiertes HMM Modell das mit hoher Wahrscheinlichkeit durchschauen sollte.
Und damit sind wir zurück beim Startpunkt:
Ich hab nie behauptet Heuristik klappt perfekt. Wüsste ich ehrlich gesagt auch nicht, wie schon gesagt: AV ist kein Fachgebiet von mir.
Aber du bist derjenige der sich ziemlich weit aus'm Fenster gelehnt hat mit, ich zitiere:
"Heuristik kannst du aufgrund des damit verbundenen Halteproblems vergessen."
Und genau diese Aussage, dass AV Heuristik wertlos ist, bedarf eben deutlich mehr Evidenz als deine allgemeinen Auslegung warum das Halteproblem es *prinzipiell* (aber zum Beispiel nicht notwendigerweise *praktisch*, in vielen Fällen) unmöglich macht, dass Schadsoftware durch Ausführungsanalyse bestimmt werden kann.
P.S. Das ganze Thema kann, m.E., deutlich schneller abgefertigt werden: Wer Bitcoin in mehr als trivialen Mengen besitzt, macht das nur auf einem anständig eingerichteten Linux (Zweit)Rechner. Und, just like that, sind 95% der Angriffsvektoren verschwunden.
Metamorphe Viren ist einfach die Virenklasse, die Standardmuster (ich meine mich an 14 Verschiedene erinnern zu können) durchlaufen um die Signatur eines Virus zu ändern, ohne dessen Laufzeitverhalten zu beeinflussen. Das kann bei der Infektion eines neuen Systems geschehen.
Das Anwendungsgebiet ist die Signaturerkennung per Heuristik. Das liegt daran, dass Heuristik kein festgelegter Begriff ist und dass die Grenzen (ähnlich wie bei der Sandbox) verwaschen und nicht klar unterscheidbar sind. Eine Heuristik in z.B. der Graphen- oder Pfadsuche wäre z.B. der A*-Algorithmus. Nur weil wir jetzt noch eine Technik mit dem Etikett "Heuristik" aus dem Hut zaubern heißt das nicht, dass alle anderen Techniken keine Heuristiken waren. Vielleicht schaust du mal nach, was der Begriff "Heuristik" eigentlich meint. Dann wirst du wahrscheinlich zu dem Ergebnis kommen, dass damit nahezu alles bezeichnet werden kann, was irgendwie mit Suchen und Finden zusammenhängt.
Es geht bei dem von dir angesprochenen Themenfeld darum, eine bekannte Virensignatur in der Datenbank per Ähnlichkeitsanalyse mit einem Programm in Verbindung zu bringen, dessen Signatur eine völlig Andere ist. Mein letzter Stand ist der, dass es (noch) nicht richtig funktionieren würde. Besonders dann, wenn mehrere Muster kombiniert würden, wären die Erfolgsaussichten nicht allzu rosig.
Sollte das implementiert werden, wäre das wirklich mal was Neues. Das heißt nicht, dass es dann besser funktionieren würde, aber wenigstens könnten wir noch mehr Augenwischerei betreiben.
Wir hatten jedoch im letzten Jahr den Spaß, dass jemand P=NP bewiesen haben will. Wieso sollen wir nicht auch gleich mal alle anderen Probleme lösen können. Ist ja egal, dass es praktisch null Nährwert hat.
Außerdem ist Linux schon längst aus dem Welpenschutzstadium heraus. Da gibt es inzwischen auch ganz reale Bedrohungsszenarien.
Aber wenn du es eh viel besser weißt als alle anderen, dann kannst du doch mal ehrlich selbst einen Beitrag dazu schreiben. Darauf bin ich mal gespannt, wie du sachlich die Wichtigkeit der AV-Software erklärst. Bisher kam von dir wenig Überzeugendes.
Der Eindruck, dass du bisher nur pöbeln wolltest mag meiner subjektiven Meinung und der fortgeschrittenen Stunde geschuldet sein.
Gruss
Bill
Edith riet mir, dass ich nochmal Folgendes erwähne:
Für die "heuristische Erkennung" wie sie von oda.krell angeführt wurde, muss erst einmal eine Signatur des Muttervirus in der Datenbank vorhanden sein. Die AV-Hersteller betonten aber zuweilen vollmundig den Schutz vor noch unbekannten Bedrohungen durch Heuristiken. D.h. vor Bedrohungen, für die es eben noch keine Signatur gibt. Dass es sich dabei eben nicht um die von oda.krell erwähnte Lösung handeln kann, ist der naheliegende Schluss.