Poiché un sacco di codice malevolo è in esecuzione solo in memoria, non sarebbe possibile firmare ogni codice eXecutable (funzioni ecc.) di ciascun file PE e controllare prima di ogni nuovo thread avviato il codice (in memoria) davvero firmato per continuare?
Con questo sistema, se un processo firmato vuole iniettare parte del suo codice in un altro processo (tramite VirtualAllocEx, WriteProcessMemory ecc.) andrà bene.
Quali sono i difetti del mio ragionamento? Questo meccanismo può essere utilizzato nella pratica (con qualche cambiamento nella struttura PE o nel sistema operativo)?
Ed; Ometto intenzionalmente i linguaggi di scripting e la funzione "in-memory signed code" che propongo è ovviamente da utilizzare in aggiunta a funzionalità come Windows Guard / AppLocker