4. Linux Malware Detection + Fork Bombe

Linux Malware Detection + Fork Bombe

  • Mod

    volkard schrieb:

    Er kann nur vermuten. "suspekt" erkennen.

    Jo.

    volkard schrieb:

    Was ist, wenn ich nur forkbomb() aufrufe, wenn...

    Was ist, wenn ich dich nur umbringe, wenn P=NP bewiesen wird? Bin ich jetzt nicht wegen geplanten Mordes verdächtig, nur weil dieses Ergebnis so furchtbar unplausibel ist?

    0
  • S

    Arcoth schrieb:

    volkard schrieb:

    Was ist, wenn ich nur forkbomb() aufrufe, wenn...

    Was ist, wenn ich dich nur umbringe, wenn P=NP bewiesen wird? Bin ich jetzt nicht wegen geplanten Mordes verdächtig, nur weil dieses Ergebnis so furchtbar unplausibel ist?

    Und was soll das Ergebnis dann sein? Wirst du Verurteilt weil du einen Mord begehen kannst oder erst wenn du einen begangen hast. Ich habe hier einen Schraubenzieher - das ist ein potentielles Mordwerkzeug. Bin ich jetzt verhaftet?

    Ein Virenscanner der sagt "diese Datei koennte uU vielleicht verdaechtig sein" ist Schrott. Er muss sagen koennen ob etwas ein Virus ist oder nicht. Rumraten ist Bullshit.

    PS:
    fork aufrufe innerhalb einer Schleife sind vollkommen in Ordnung. Wer will kann ja mal prefork googlen.

    0
  • Mod

    Shade Of Mine schrieb:

    Er muss sagen koennen ob etwas ein Virus ist oder nicht. Rumraten ist Bullshit.

    Blödsinn. Virenscanner sind Sammlungen von (z.T. ausgeklügelten) Heuristiken. Die werden dir immer mal false positives liefern. Auch wenn ich zustimme, dass es nicht zu viele sein sollten. (Edit: Oder wolltest du damit suggerieren, dass alle Virenscanner Bullshit sind? Ich stimme zu! 😃 )

    Arcoth schrieb:

    Und was soll das Ergebnis dann sein? Wirst du Verurteilt weil du einen Mord begehen kannst oder erst wenn du einen begangen hast. Ich habe hier einen Schraubenzieher - das ist ein potentielles Mordwerkzeug. Bin ich jetzt verhaftet?

    Die Tatsache, dass du ein Messer mit dir herumträgst und solche Dinge ablässt, reicht, um dich verdächtig zu machen.

    Ein Programm, dass (mehr oder weniger) nachweislich eine Schleifenartige Anwendung von fork enthält, ist verdächtig. Es gibt nur wenige berechtigte Ausnahmen; solche kann man dann ja vom Programm einfach whitelisten lassen.

    0
  • S

    Arcoth schrieb:

    Blödsinn. Virenscanner sind Sammlungen von (z.T. ausgeklügelten) Heuristiken.

    Nein.

    Virenscanner basieren auf Signaturen. Signaturen sind keine Heuristiken. Dass was man als "Heuristiken" bei Virenscannern versteht sind fuzzy Signaturen. Es gibt auch schon Scanner die versuchen auf Verhalten zu gehen, da sind es in der Tat heuristiken - aber das ist nicht was man heute unter normalen Virenscanner versteht.

    0
  • Mod

    Arcoth schrieb:

    Ein Programm, dass (mehr oder weniger) nachweislich eine Schleifenartige Anwendung von fork enthält, ist verdächtig. Es gibt nur wenige berechtigte Ausnahmen; solche kann man dann ja vom Programm einfach whitelisten lassen.

    Also ich bin mir ziemlich sicher, dass mein Webbrowser auf tiefster Ebene ein fork hat, das auf höherer Ebene betrachtet in einer Schleife steht. Und das ist nur das allererste Beispiel, das mir einfällt, weil ich gerade einen Webbrowser benutze.

    0
  • Mod

    Shade Of Mine schrieb:

    Virenscanner basieren auf Signaturen.

    Signaturen sind übrigens Hashs, und die können kollidieren. Ist also ne Heuristik, streng genommen.

    Es gibt auch schon Scanner die versuchen auf Verhalten zu gehen, da sind es in der Tat heuristiken - aber das ist nicht was man heute unter normalen Virenscanner versteht.

    Es wurden schon (als ich vor Jahren einen Scanner zu haben pflegte) einige meiner Programme als Viren gemeldet, weil sie spezielle WinAPI Funktionen verwendet haben. Wenn das keine Heuristik ist, weiß ich auch nicht.

    0
  • S

    Arcoth schrieb:

    Shade Of Mine schrieb:

    Virenscanner basieren auf Signaturen.

    Signaturen sind übrigens Hashs, und die können kollidieren. Ist also ne Heuristik, streng genommen.

    lol

    Signaturen sind keine Hashes.

    Ja, es gibt Signaturen die Hashes sind, genauso wie es Signaturen gibt die nur auf einen Dateinamen checken - Signaturen sind sehr flexibel.

    Und nein, Heuristiken sind sie keine, da Signaturen genau auf bekannte Viren matchen. Das erkennen eines Makros in einem Worddokument lasse ich nicht als Heuristik gelten.

    0
  • N

    Ich weiß schon, dass es euch vmtl. primär um eine Diskussion der technischen Machbarkeit geht, aber dass das alles keine Praxisrelevanz hat, weil Fork-Bomben in der Praxis kein Problem sind, ist euch schon auch allen klar, oder?

    Shade hat es ja schon recht früh angedeutet:

    Shade Of Mine schrieb:

    Bestcase ist dass du eh in die Resourcen limitierung des Users reinläufst und automatisch gekillt wirst.

    0

  • Also zumindest mir ist das klar.
    (Und ich halte auch alle anderen Beteiligten für ausreichend hell.)

    0
Anmelden zum Antworten