Algunos proveedores venden sistemas que funcionan como usted describe. El mayor problema es la falta de cooperación activa de los proveedores; no hay una manera confiable de crear una lista de hashes de "binarios permitidos" desde:
-
Lo que parece ser "una aplicación" desde el punto de vista del usuario puede ser una colección de muchos archivos ejecutables (en gran medida, eso es lo que es DLL).
-
Cualquier actualización de software romperá los valores hash y requerirá volver a calcularlos. Esto es especialmente un problema con las aplicaciones que se actualizan automáticamente a diario (como es típico de algunos navegadores web modernos).
-
Algunas aplicaciones se basan en generación sobre la marcha de archivos ejecutables, por ejemplo. para optimizar las cosas con respecto al hardware local (creo que Adobe Reader lo hace). Tenga en cuenta también que .NET Framework viene con un compilador de C # ( csc.exe ) y que el proceso de compilación se puede invocar mediante programación (esto es lo que impulsa las páginas web de ASP.NET y es bastante común).
Entonces, en la práctica, los sistemas que funcionan de esa manera se combinan con una fase de aprendizaje (donde se recopila información sobre qué archivos ejecuta un usuario en un "día típico"), excepciones explícitas para casos de esquina, y un proceso simplificado por el cual el usuario puede solicitar la adición de una aplicación determinada a la lista blanca.
Tenga en cuenta que si aplica un sistema de este tipo, sus usuarios lo odiarán por completo, ya que lo sentirán como una intrusión intolerable en su mundo privado. El odio del usuario tiene su propio costo, desde el punto de vista de la seguridad (la seguridad funciona mucho mejor cuando los usuarios colaboran voluntariamente), por lo que es mejor contrarrestar esto con una ganancia neta del sistema de la lista blanca.
Además, tenga en cuenta que el malware no es necesariamente un archivo .exe o .dll. Los virus de macro de Word son un ejemplo bien conocido.