Техника - молодёжи 1993-01, страница 15

Персоналка на твоем столе

ствует израильский вирус «Черная пятница» (CE-1813R), названный так потому, что по пятницам, приходящимся на 13-е число, уничтожает все содержимое винчестера. В этом случае достаточно найти истинное начало файла и внести соответствующую запись в служебные таблицы.

Малораспространенная третья схема реализована в «Лехайском вирусе» (C-346R), который через четыре цикла саморазмножения обнуляет 32 сектора винчестера,— он располагается в середине программы, на участке, зарезервированном под цифровые данные пользователя, но до работы пока свободном. Не все программы имеют такую структуру, поэтому у хакеров подобный прием не пользуется почетом.

И наконец, четвертая схема — вирус переписывает начало программы-жертвы, равное своему объему, в ее конец, а на освободившемся участке размещает собственное «дитя». Так поступает С-529 — во всем остальном, кстати, чистейший плагиат с «Черной пятницы» (подумать только, и вирусы воруют!). Для ликвидации достаточно проделать то же самое в обратном порядке.

В борьбе с вирусами распространено два подхода: лечение и профилактика.

Основной метод лечения заключается в поиске антивирусной программой знакомых специалисту комбинаций байтов, характеризующих определенную инфекцию и запрограммированное ее удаление. Для профилактики же используются программы, которые контролируют размеры файлов на винчестере и перехватывают команды записи, постоянно запрашивая у

оператора подтверждение — действительно ли он хочет что-то записать, или это старается вирус.

В обоих случаях эффективность далека от 100%. Например, версия лечебной программы Д.Лозинского Aidstest, рассчитанная на 315 «творческих находок» хакеров, не заметит 316-ю. А во втором случае не всегда понятно, кто хочет сделать запись: вирус или запущенная оператором программа, поскольку в ходе любой работы на компьютере что-то постоянно сбрасывается на магнитный носитель, чтобы освободить оперативную память.

Вот если бы формализовать интеллектуальный труд вирусолога по анализу структуры и повадок новых штаммов, созданию лечебных процедур, а затем описать все это алгоритмическим языком, заодно включив и элементы профилактики! Тогда компьютер научился бы самостоятельно предотвращать или лечить любую заразу.

Разумеется, задача трудная, но кое-какие подходы уже определились. Например, в известном антивирусными разработками СП «Диалог» (в котором работает и Д.Лозинский) пытаются реализовать эти принципы в виде системной защиты AVSP (Anti Virus System Protect). Пока рано говорить о передаче компьютеру полного анализа обстановки. Интеллектуальную часть должен взять на себя очень грамотный оператор или, что еще лучше, программист-профессионал. Но согласитесь, найти таких все же проще, чем системщика, специализирующегося на вирусах. А программа AVSP выполнит рутинную работу: сравнит больной и здо

ровый файлы, выделит инородные команды, предложит варианты лечения (выбор которого сделает оператор). Пожалуй, самое главное — способность программы к самообучению. Достаточно показать ей, по каким критериям искать новый вирус и как справиться с ним (действия оператора запоминаются),— и все остальные файлы компьютер проверит автоматически, а больные излечит.

Конечно, новая разработка имеет недостатки. Представьте, что оператор ошибся при манипуляциях (ведь с помощью AVSP в недра любой программы может «залезть» каждый, считающий себя «специалистом»), а антивирус растиражирует ошибку на весь винчестер (вместо одного будет испорчено большинство файлов). К тому же пока не все типы вирусов можно удалить с ее помощью — поиск и ликвидация бутовых инфекций основаны на иных принципах. Но сам подход к задаче выглядит перспективнее, ведь при появлении нового штамма единственное, что могут пообещать другие, скажем, тот же Д.Лозинский, это лишь попытаться изготовить соответствующее «лекарство».

Может быть, не только в «Диалоге» думают над аналогичными задачами. Было бы неплохо для общей пользы обменяться идеями. Интересно узнать и мнение противоположной стороны — хакеров. А пока работа над универсальной защитой продолжается, воспользуйтесь самым радикальным советом, годным на все случаи жизни: «Чтобы защититься от заразы — избегайте случайных связей».

HELP

КЛУБ ЭЛЕКТРОННЫХ ИГР (123481, Москва, а/я 82, «Техника -молодежи»; тел. (095) 285-16-87, 285-88-01, 285-88-79):

— ПРЕДЛАГАЕТ ПРОГРАММЫ для ENTERPRISE 128 (на магнитофонной пленке, дискетах и в картриджах: большой выбор игр, в том числе улучшенная эмуляция Спектрума, прикладные программы, системные расширения, языки программирования) и для IBM PC/AT (бухгалтерия, геология, геодезия, медицина, переброска файлов IBM — ДВК и др.);

— РЕМОНТИРУЕТ компьютеры, мониторы и любую другую периферию;

— ПРОДАЕТ за рубли компьютеры английской сборки Enterprise 128 в комплекте с магнитофоном, картриджем, демонстрационной и двумя игровыми кассетами;

— РЕГИСТРИРУЕТ владельцев Enterprise 128 с целью создания клуба пользователей, действительные члены которого получат доступ к информации, программам, документации и периферии на льготных условиях.

ТЕМ, КТО ХОЧЕТ надежно ЗАЩИТИТЬ свои дискеты от копирования, ИССЛЕДОВАТЬ ВИРУСЫ и иные пристыкованные блоки, ПЕРЕДЕЛЫВАТЬ ПРОГРАММЫ без исходных текстов, РАСПОЗНАВАТЬ ПОЛЬЗОВАТЕЛЯ по клавиатурному почерку, предлагаем подписаться на компьютерное приложение к журналу «ТЕХНИКА — МОЛОДЕЖИ»! Выпуск первый: «КАК ЗАЩИТИТЬ ИНФОРМАЦИЮ (Пособие по борьбе с хакерами)».

В БРОШЮРЕ (5 п.л.): 1. Приемы идентификации пользователя;может ли компьютер стать графологом? Алгоритмы.

2. Привязка программ к конкретному компьютеру, его идентификация. Алгоритмы.

3. Защита от исследований, дизассемблеров и отладчиков. Алгоритмы.

4. Удаление вирусов и любых других ненужных блоков, способы корректировки исполняемых задач, как находить и исправлять ошибки, не имея исходных текстов.

5. Как построить самомодифицирующуюся программу.

б. Алгоритмические головоломки и упражнения.

НА ДИСКЕТЕ (362 Кб): L Тексты на Си и готовые программы для идентификации пользователя.

2. Дизассемблер, «склеиватель» и корректор модулей (на Си и Бейсике).

3. Последняя версия универсального отладчика ЕХЕВ.

4. Процедуры для построения защиты от исследований и несанкционированного копирования.

Подробное описание методик и наличие исходных текстов на языках высокого уровня расширяют сферу применения — вплоть до бытовых компьютеров.

Ориентировочная стоимость комплекта — 290 руб. плюс почтовые расходы (в ценах ноября).

Единичные экземпляры можно купить в редакции, заказы на оптовые партии направлять по адресу: 123481, Москва, а/я 82, «Техника — молодежи», тел. (095) 285-89*80.

Кооператив «ЭЛЕКТРОН» предлагает владельцам компьютеров «ЛЬВОВ ПК-01», «ВЕКТОР 06Ц», МС 1502, «ПОИСК», «УК-НЦ» (МС 0511), БК 0010, БК 0010-01, IBM PC/XT/AT, «СПЕЦИАЛИСТ», «СИНКЛЕР-48», «ПРАВЕЦ-8Д», ДВК-3/4, РК-86-32, «МИКРОША», «ПАРТНЕР», «АПОГЕЙ», «ОРИОН», «АГАТ-7», «АГАТ-9», «КОРВЕТ», «СУРА», «ХОББИ», «ВЕСТА», «АССИСТЕНТ» широкий выбор системных, прикладных, учебных и игровых программ. Новейшие разработки, из первых рук и ПО УМЕРЕННЫМ ЦЕНАМ. Программы можно купить, продать или обменять. С авторами заключим договор на тиражирование. Адрес: 103489, г.Зеленоград, корпус 705, кооператив «Электрон».

МП «МАГНОЛИЯ» предлагает игры и системные программы, а также бесплатный каталог для ПК «COMMODORE 64/128». Адрес: 270044, Одесса, а/я 112. Тел. (0482) 288-717, 608-588.

Принимаются заявки на объявления от частных лиц и предприятий. Предварительный текст и квитанцию почтового перевода (аванс не менее 100 р.) направлять по адресу: 123481, Москва, а!я 82, «Техника — молодежи», Конюшкову А.А. После подготовки макета по группам однотипных объявлений автору сообщается номер заказа, окончательная стоимость (по 150руб. слово) р ориентировочный номер «ТМ», в план которого включено объявление

13