Прочитав в N№ 14 вашей газеты в рубрике "Книгодром" про книгу И. Гульева "Компьютерные вирусы, взгляд изнутри"

Уважаемая редакция "Компьютерной газеты"!Прочитав в N№ 14 вашей газеты в рубрике "Книгодром" про книгу И. Гульева "Компьютерные вирусы, взгляд изнутри", я ознакомился с книгой подробнее и решил поделиться своим мнением.

Рассмотрим это пособие по двум категориям:

А) для вирусописателей;

Б) для вирусологов.

Во-первых, обширного материала в данной книге вы не найдете. Итак, начнем по порядку:

А) com и exe-вирусы, представленные в первой и второй главах данной книги, довольно примитивны и неоптимизированы, отдельные фрагменты можно было бы написать лучше и короче, хотя это дело вкуса.

Б) алгоритмы внедрения в com и exe-файлы только самые общие, т.е. заражение в начало, середину или конец файла без пояснения для каждого способа дополнительных возможностей.

Для примера существует несколько способов внедрения вируса в середину файла: он может быть скопирован в область стека файла commmand.com ("Lehigh"), может переписать часть файла в его конец, а свое тело - в освободившееся место ("Phoenix"), может быть скопирован в таблицу настройки адресов exe-файла ("Boot-EXE"), может раздвинуть файл ("April-1st-EXE), использовать компрессию одинаковых участков файла (т.е. участков, где байты равны одному и тому же значению) ("Mutant"), произвольно вставлять фрагменты своего кода в тело зараженного файла ("Bomber") и т.д.

Конечно, лучше бы автор книги представил наряду с "серостью" исходники прилично написанных вирусов типа "Frodo", "Mutant-1744", "One Half", "Bomber" либо каких-нибудь других с аналогичными алгоритмами.

Я считаю это большим минусом пособия, которое претендует считаться профессиональным.

Про вирусы из I и II глав можно сказать следующее: "такое" или чуть "лучше" или "хуже" набивается в течение 5-10 минут, и за то же время, пожалуй меньше, взламывается.

Так как автор черкал материал, преподнесенный в книге, из электронных журналов по вирусам, то следовало бы взять лучшие образцы. Также автору не помешало бы проанализировать больше информации подобного рода либо сменить ее источники.

В главе III и IV виден прогресс в смысле современности, однако все также "слабая" реализация, исходники оригинальных вирусов отсутствуют.

Обман антивирусных мониторов и антивирусов, описанный в главе V, довольно устарел, хотя кое-что еще сгодится: в частности, "врезка" 5-и байтов (jampfar) в обработчик 21h int'а (сплайсинг), а тривиальной процедурой возврата в DOS или трассировкой важнейших прерываний 12h, 13h сейчас мало удивишь вирусологов. Это было применено в одном из первых stealth-вирусов Frodo (октябрь 1989). Сейчас практически все антивирусные средства "знают" эти трюки, так что ничего нового в этом нет.

Насчет методов борьбы с вирусами можно спорить долго и упорно. Отличные рекомендации можно найти в книге "Компьютерные вирусы в MS-DOS" Е. Касперского.

Пример программы-антивируса в стиле Хижняка, как говорится "no comments", и пример-то один, а вирусов несколько.

Описание недокументированных функций - это хорошо, только функций этих слишком мало (даже 21h int'а не все), не говоря уже о 2Fh и др., а документированные можно было вообще не писать - они есть в любом учебнике по Assembler'у, а в техническом руководстве по DOS более подробные описания.

Описание функций DPMI присутствует в файле DPMI.tbl, входящим в состав Sourcerr'a 5.04, также там есть и описание недокументированных. А опытному программеру-системщику-вирусописателю или вирусологу и вовсе до лампочки - они это знают и просто обязаны знать.

В конце книги автор издает greet'ы направо и налево, всем, чьими консультациями он пользовался, в частности, группе вирмейкеров SGWW, которая входит в десятку лучших в мире. Она якобы занимается исследованиями, а не распространением вирусов. Интересно, откуда тогда в Virlist'ах они? И зачем вирусу, который в принципе не должен распространяться, инклюдировать деструктивный код? Интересно, а какие тогда худшие группы вирмейкеров?

А говоря в целом об этой книге, нужно отметить следующие серьезные недостатки: отсутствие готовых программ или их фрагментов внедрения вирусов в sys, obj, bat-файлы, полиморфных генераторов, специальных средств против отладчика для 386+, бутовых и файло-бутовых вирусов, полных "стелс"-алгоритмов на уровне 21h, 13h, 2Fh и системного драйвера (Dir II) инсталляция в UMB и т.д. То есть книга не предназначена для профессионального использования программерами того или иного профиля из-за крайней скудности материала и его заурядности. На справочник она также не тянет. А обычным юзерам хватает и других проблем, чем сражения с вирусами. На это есть антивирусы и люди, их создающие. Остается прослойка ламеров, ждавших подобного момента и "набивающих" после этого нечто "нерезидентное", оседающее и в без того "распухших" вирлистах, что позволяет автору своего детища гордиться собственной крутизной.

Остается добавить, что все вышесказанное является лишь моей точкой зрения и не может быть навязана всем и каждому.

Dr. Butcher


Компьютерная газета. Статья была опубликована в номере 17 за 1999 год в рубрике литература :: разное

©1997-2024 Компьютерная газета