Недетектируемый вирус?

Во гопота разошлась

Заголовок один, начало вроде как продолжает его, потом переход к определению, но определение не задалось, поэтому прыжок к какому-то синтезу, отсылки к «нашей задаче» (что за задача?) и закончил квайнами.

Мысль только одна, зачем я это прочитал и зачем написал этот комментарий?

Набор тегов - это отдельная каша. Попробуйте структурировать поток мыслей.

P.S. И, да, что это делает в разделе девелопмент?

Мыслей — нет. Для мыслей нужно этим заниматься, хотя бы, а я уже over 100500 времени не при делах.
Недетектируемые вирусы? Да, существуют.

недетектируемый вирус
...
Понятно, что это псевдослучайный синтезатор программ

Где-то между потеряна логическая связь в повествовании.

Есть какие-нибудь мысли?

идея прикольная

не вполне по теме, но раз уж joy корнями форт и описан математикой, то потенциально можно сделать а-ля нейросеть и сгенерить алгоритм, а не просто набор весовых коэффициентов.

Это ты про полиморфные и метаморфные вирусы что ли?

Не стоит вскрывать эту тему

Здравствуйте, я молдавский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.

А молдавский вирус может починить окна?

Если бы определение задалось, то не было бы этого поста, а был бы какой-то результат. Я написал пост, чтобы обсудить возможность определения.

Про переход от вируса к квайну я не стал портянку писать, думал это и так очевидно. Если абстрагироваться от всего лишнего вроде взаимодействия с ОС, то вирус это и есть квайн. Об этом чуть ли не в википедии прочитать можно.

Что касается синтеза, то вирус, если его экземпляры хоть чем-то различаются, должен синтезировать их по какой-то спецификации. В идеале, детектирование это задача обращения функции синтезатора. Но на практике это может быть совсем не так. Например, если все экземпляры содержат какой-то неизменный фрагмент, то детектировать можно по нему, хотя и не со 100% вероятностью. Это и делает задачу сложной даже на этапе определения.

По поводу тегов и раздела, прошу прощения. Я первый раз на этом форуме.

Недетектируемые вирусы? Да, существуют.

А есть ли хорошие аргументы в пользу существования?

Я даже больше скажу, а является ли вирус недетектируемым если на компе отсутствует детектор?

Это ты про полиморфные и метаморфные вирусы что ли?

Такая классификация есть, но я не вижу в ней никакого смысла.

Joy был выбран исключительно из-за внятной семантики и простоты алгебраических преобразований (функциональный, нет переменных, лямбд и т.д.).

А есть ли хорошие аргументы в пользу существования?

Нету.

И что значит «хороший аргумент»?

Тут есть серьезная гносеологическая? проблема. С одной стороны для доказательства наличия недетектируемого вируса достаточно этот самый вирус предъявить. С другой, предъявлен он может быть только после его детектирования а значит он становится детектируемым, таким образом попытка прямого физического обоснавания обречена на провал. Что делать? Прибегнуть к вероятностным оценкам. Поскольку вирусы это тоже программы, и если учесть, что работь они должны на реальном железе, то это множесто будет ограничено мощностью самого мощного домашнего компа. При стандарте харда в .5 терабайта мы получаем миллиарды миллиардов. При этом репы дебиана содержать всего лишь сотни пакетов, и это гарантированно не вирусы.

Выходит, что у нас есть огромные количество софта, который с одной стороны не написан, с другой, однажды реализовавшись стохастическим путем никогда не исчезнет, а значит и вероятность существования такого вируса приближается к единице.

Если абстрагироваться от всего лишнего вроде взаимодействия с ОС, то вирус это и есть квайн.

Зачем абстрагироваться от взаимодействия с ОС, если цель избежать детектирования в рамках ОС? Так что вирус не есть квайн, как минимум потому что исходный код, который выдается квайном, сам себя не запустит. А всю вашу метаморфную братию отловит динамический анализатор антивируса.

С другой, предъявлен он может быть только после его детектирования а значит он становится детектируемым, таким образом попытка прямого физического обоснавания обречена на провал.

Вам прислали программку которая печатает другие программки. Надо написать детектор, который отличает полученное от случайной программы. Вы пробуете, ничего не получается. Вероятность правильного ответа не сильно больше 50%.

Вам прислали последовательность байт, требуется написать детектор отличающий её от случайной.

Абстрагироваться надо, чтобы не утонуть в бессмысленных деталях, очевидно.

И что такого интересного увидит динамический анализатор? То что программа-1 записала программу-2 на диск? Это что, преступление? Файл-менеджер и браузер это что, тоже вирусы?

Отличать надо ВСЕ, а не одну.

Недетектируемый вирус это зловредный код, который не принято детектировать как вирус. Всякие зонды в проприетарщине, такое вот

существует ли недетектируемый вирус?

Да

</thread>

При этом репы дебиана содержать всего лишь сотни пакетов, и это гарантированно не вирусы

Зато в снапе, пипе и нпме

Вот тоже на этом запнулся. Ты высказал мысль ясно. Блин я пьяный.

Файл-менеджер и браузер проверены по хешам в облаке, а ваш вирус антивирус отправит в облако в песочницу на кластер компов и там с ним быстро разберутся, что программа-2 записывает программу-3, а та программу-4 и т.д.

Идеальный вирус, вот какое слово вы ищите.

Если ты можешь отличить одну значит можешь отличить все.

Это отдельный вопрос и он тоже очень интересен. Одно из возможных решений - заражать другие программы и «наследовать» таким образом их поведение. Но это именно отдельный вопрос. Поэтому от него и стоит абстрагироваться.

Каким это образом интересно?

А что ты меня спрашиваешь? Ты скажи как отличить рандомную последовательнось байт от нерандомной?

Называется это «полиморфный код». При каждой новой записи своей копии, вирус пишет этот код другими инструкциями, приводящими к тому же результату.

И что такого интересного увидит динамический анализатор? То что программа-1 записала программу-2 на диск? Это что, преступление? Файл-менеджер и браузер это что, тоже вирусы?

Если мы про вирусы, то программа-1 записала текст программы-2 в чужой бинарник. Такое действие отслеживается.

Если мы про черви, то появление кучи (разных) бинарников позволит его детектировать даже без антивируса.

P.S. Недетектируемый вирус бывает: достаточно заменить достаточную часть ОС. Например, вирус внедрён в ядро линукса, на stat и read на файл ядра выдаёт оригинальную копию без вируса. Найти его можно только если загрузиться с другого носителя. Если же вирус сможет прописаться куда-то в Intel ME, то тогда только проверив диск и прошивку ME на другом компьютере.

Полиморфы тоже детектятся иначе бы всё заполонили полиморфы.

на языке Joy

При этом Гитхаб такого языка, похоже не знает. По твоей ссылке:

Scheme 100.0%

Где про него почитать?

Где про него почитать?

Там же ссылка: https://www.kevinalbrecht.com/code/joy-mirror/joy.html

P.S. Недетектируемый вирус бывает: достаточно заменить достаточную часть ОС. Например, вирус внедрён в ядро линукса, на stat и read на файл ядра выдаёт оригинальную копию без вируса. Найти его можно только если загрузиться с другого носителя.

Конечно, скомпрометированную систему защитить нельзя, с этим не поспоришь. Но разговор то не об этом, а о возможности различения программы от случайной, что бы это не значило. ОС тут вообще не при чем.

Тогда это не про вирус, а про математику.

Технически, можно написать программу, которая проверяет эквивалентность двух программ.

Фактически, любой оптимизирующий компилятор примерно это и делает.

нужно чтобы в нашей алгебре программ проблема эквивалентности двух термов была очень сложна

Вирус обязан быть программой в машинных кодах. Но там большую часть проблем эквивалентности уже решили.

Тогда это не про вирус, а про математику.

Любая задача про математику, если ее удается формализовать.

Фактически, любой оптимизирующий компилятор примерно это и делает.

Компиляцию можно рассматривать как частный случай синтеза, проблем нет.

Вирус обязан быть программой в машинных кодах.

Он должен быть возможен на любом языке, в т.ч. и в машинных кодах, см. заглавный пост.

Но там большую часть проблем эквивалентности уже решили.

А вот это невозможно в принципе из-за невычислимости. Но даже если рассматривать только программы с ограничением на размер, то и это ничего не даст. Допустим, есть 2 программы. Программа-1 пытается проверить большую булеву формулу методом перебора и печатает «1» если она выполнима. Программа-2 тупо печатает «1» и завершается. А теперь проверьте их эквивалентность))

Если бы было про произвольные программы, согласен. Я помню про проблему останова.

Но у тебя «к ней применяются алгебраические законы. Например, для функциональных языков композиция ассоциативна, функция map дистрибутивна относительно композиции и т.д.». Таким образом детектор должен знать эти же законы и тогда сможет вывести эквивалентность.

Любая задача про математику, если ее удается формализовать.

Нет. Полиморфный вирус легко ловится по действиям (попытка модификации исполнимых файлов, попытка создания исполнимых файлов без команды пользователя).

Любая задача про математику

Вот контрпример: https://i06.fotocdn.net/s132/295a9458f8d61e60/public_pin_l/2973833759.jpg

Но у тебя «к ней применяются алгебраические законы. Например, для функциональных языков композиция ассоциативна, функция map дистрибутивна относительно композиции и т.д.». Таким образом детектор должен знать эти же законы и тогда сможет вывести эквивалентность.

Разумеется, нет. Во-первых, trs может не быть конфлюентной, как в моем исходнике, что означает задачу эквивалентности в классе NP. Во-вторых, существуют алгебры, в которых задача распознавания эквивалентности термов относится к классу distNP-complete. Вот так.

Нет. Полиморфный вирус легко ловится по действиям (попытка модификации исполнимых файлов, попытка создания исполнимых файлов без команды пользователя).

Это абсолютно не релевантно. На это я уже ответил выше.

Вот контрпример: https://i06.fotocdn.net/s132/295a9458f8d61e60/public_pin_l/2973833759.jpg

Смешно, да. Уже надрываю животик. Почти как анекдоты про молдован выше в треде.

Во-вторых, существуют алгебры, в которых задача распознавания эквивалентности термов относится к классу distNP-complete.

Вот ты на свой вопрос сам и ответил. Правда если мы про математику, то с точки зрения математики NP-полные задачи всё-таки являются решаемыми.

1. Полиморфы по определению не детектятся, не с чем сравнивать код.

2. Они и заполонили. Периодически виндузятников режут и бомбят всякими там шифровальщиками.

Я ни на что не ответил, к сожалению, см. заглавный пост:

Буквами в такой алгебре будут обозначаться не примитивы языка, а какие-то сложные составные программы. Для них уже можно использовать комбинаторный синтез. Проблема здесь в том, что они сами могут быть легко детектированы.

Почему не примитивы языка? Потому что в другом языке могут быть другие примитивы! Эти составные программы должны быть экстенсионально эквивалентны во всех экземплярах вируса, иначе его семантика будет нарушена. Что собственно и делает их детектируемыми.

1. У полиморфов другое определение

2. Шифровальщик редко бывает вирусом.

Хочешь спрятаться за проблемой останова? Она же тебя и выдаст.

Если вирус останавливается, то он может задетектить сам себя, а значит это можно повторить в антивирусе.

Если же вирус недетектируемый, то неизбежно повторное заражение. Как следствие, чрезмерное использование ресурсов и обнаружение.

зачем себя детектить?

Как много копий реально запускается одновременно из программ? Если мы говорим именно о вирусе.

классика, если тебя разбудили - заразил 2 новых файла, а сам выпилился нафиг.

Вирус обязан быть программой в машинных кодах. Но там большую часть проблем эквивалентности уже решили.

Но он же не обязан быть эквивалентен сам себе. Точнее мутированная копия оригиналу.

классика, если тебя разбудили - заразил 2 новых файла, а сам выпилился нафиг.

Рано или поздно все файлы будут заражены, и мы пойдём по второму кругу. На практике же этот процесс ускорится благодаря парадоксу дней рождения.

:) со вторым кругом почти попал, НО при запуске все перехваты точки входа будут вызваны, а значит все копии в этом конкретном файле умрут