Ho letto un accenno a Korset (http://www.korset.org/), dovrebbe essere una sorta di antimalware ma dal sito non riesco bene a capire cosa fa.....

daccordo che è appena alla 0.01 e dubito che sia granchè, ma qualcuno ne capisce di più ?

In pratica rileva le possibili sequenze di chiamate a sistema che una applicazione può generare, se durante l'esecuzione tale applicazione esce da questi schemi significa che sta eseguendo qualcosa di anormale.

Ad esempio una applicazione che viene mandata nel classico overflow su stack per eseguire uno shellcode: eseguendo tale codice vengono fatte delle chiamate di sistema diverse dal solito o comunque in una sequenza che normalmente non dovrebbe essere possibile, quindi deve essere successo qualcosa di strano e Korset lo rileva.

Credo che verifichi anche i parametri passati alle chiamate di sistema ma su questo non sono sicuro, ho letto qualcosa a riguardo ma non ricordo quando, dove e a proposito di cosa, se ritrovo posto ;)