Здравствуйте, ononim, Вы писали:

Pzz>>А чем, с точки зрения планировщика, такой busy-loop отличается от кода, который майнит биткоин на процессоре?
O>Детектилка должна не только смотреть на 100% CPU usage, но и в случае любой непонятной ситуации подозрительной активности — смотреть на код под RIP, который исполняется при переключении контекста на подозрительный тред. И реагировать только если обнаружит что там только ин(де)кременты и джампы — то, значится, у нас тут какер.

Думаешь, нельзя аккуратно перемешать инкременты с какими-нубудь рассчетами?

Вот я напишу тебе программу, которая последовательность байтов rc4 вычисляет, и считает статистику распределения. Твоя детектилка подумает, что моя программа что-то умное делает, а мне, на самом деле, нужен только счетчик нагенерированных байтов, а статистика считается лишь для прикрытия.

Ну не говоря уж о том, что дизассемблировать и анализировать на лету интеловский код — не самая простая задача. Там даже команда mov, взятая сама по себе, является тьюринг-полной, и есть опенсорсный Си-компилер, который сишную программу в последовательность mov'ов компилирует, и она даже работает

P.S. Кстати, я полагаю, цикл со счетчиком можно и в видеокарту засунуть.