Dado que muchos códigos maliciosos se ejecutan solo en la memoria, ¿no sería posible firmar cada uno de los códigos ejecutables (funciones, etc.) de cada archivo PE y verificar antes de cada nueva secuencia iniciada que el código (en memoria) es de hecho firmado para continuar?
Con este sistema, si un proceso firmado desea inyectar parte de su código en otro proceso (a través de VirtualAllocEx, WriteProcessMemory, etc.) estará bien.
¿Cuáles son los defectos de mi razonamiento? ¿Se puede utilizar este mecanismo en la práctica (con algún cambio en la estructura de PE o en el sistema operativo)?
ed; Omito intencionalmente los lenguajes de script y la función de "código firmado en la memoria" que propongo se utilizará, por supuesto, además de funcionalidades como Windows Guard / AppLocker