Возможно ли выявить вредоносный исходный код?

Question

[Filipp42]

Можно ли по исходному коду определить, вредоносный он или нет? Справляются ли с этим антивирусы? Или они проверяют в первую очередь бинарники? Есть ли Open Source инструменты для выявления вредоносного кода?

Answer 1

[Василий Банников]

Нет способов отличить вредоносный код от обычного. И те и другие вполне могут работать с сетью и файловой системой - этого уже достаточно, чтобы сделать фактически любой вирус.
Тут поможет только аудит (если это чужой код) и код-ревью (если код твой)

Есть сканеры уязвимостей и всякие линтеры, но прям антивирусов нет.
Хотя вроде есть "антивирусы для сайтов", которые находят хорошо известные вирусы в php, js, и конфигах для веб-сервероа.

Comments

[Filipp42]

А как тогда антивирус отличает хорошую программу от плохой?

[Василий Банников]

Filipp42, по сигнатурам. Разработчики антивируса составляют базу вирусов, тестируют их, находят неизменные части.
По поведению - обращение к определённым API операционной системы, изменение определённых файлов.
Параноидальным способом - всё вирус, что не было явно разрешено.
И всё равно остаются необнаруженные вирусы и ложные срабатывания.

Если бы был надёжный способ автоматически обнаруживать любой вирус - не нужно было бы обновлять никакие базы.

Answer 2

[Александр]

Можно выявить по использованию нетипичных инструкций языка.
Например: программа расчета - лезет в реестр, или программа сжатия аудио - обращается по http в интернет.
Когда возникает вопрос "а для чего вообще ей туда?" - можно считать ее вредоносной.
Сейчас такой аудит может проводить GPT4.

Как и с людьми: Если человек пришел кран починить, а вы видите как он шарится в спальне по шкафам - он точно ничего хорошего не делает.