Инструментарий хакера

Крис Касперски аkа мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-080-5

Возможность расширения конструктивно не предусмотрена, однако доступность хорошо структурированных исходных текстов делает эту проблему неактуальной и ты в любой момент можешь добавить к эмулятору какую-нибудь фичу (например, виртуальный жесткий диск).

Поддерживаются три режима эмуляции: полная, частичная и динамическая. Полнота "полной" эмуляции на самом деле довольно условна (SoftIce не идет!), однако для подавляющего большинства неизвращенных программ с лихвой хватает и частичной. Оба эти режима достаточно надежны, и вырваться за пределы эмулятора нереально. Правда, производительность виртуальной машины оставляет желать лучшего – Pentium III 733 MHz опускается до 13.17 MHz, замедляясь более чем в 50 раз. Модуль динамической эмуляции (выполняющий код на "живом" процессоре) все еще находится в стадии разработки. А текущая версия содержит много ошибок, часть из которых фатальна, поэтому пользоваться им не рекомендуется (хотя его производительность вчетверо выше).

Обмен данными с внешним миром происходит либо через прямой доступ к CD-ROM, либо через монтирование каталогов физического диска на виртуальные логические диски, доступные из-под эмулятора через интерфейс INT 21h. Это обеспечивает достаточно надежную защиту от вредоносных программ. Уничтожить смонтированную директорию они смогут, но все остальные – нет!

DOS-BOX подходит для экспериментов с большинством MS-DOS-вирусов (исключая, пожалуй, лишь те, что нуждаются в прерывании INT 13 или портах ввода/вывода), а также взлома программ, работающих как в реальном, так и в защищенном режимах.

Bochs

Подлинно хакерский эмулятор, ориентированный на профессионалов. Простые смертные находят его чересчур запутанным и непроходимо сложным. Здесь все настраивается через текстовые конфигурационные файлы – от количества процессоров (Bochs - единственный из многих известных эмуляторов, позволяющий эмулировать более одного процессора) до геометрии виртуального диска.

Это некоммерческий продукт с открытыми исходными текстами и впечатляющим качеством эмуляции. Контроллеры гибких и жестких IDE-дисков эмулируются на уровне портов ввода/вывода, обеспечивая совместимость практически со всеми низкоуровневыми программами. Полностью эмулируется защищенный режим процессора. Во всяком случае, SoftIce запускается успешно (правда, работает несколько нестабильно, периодически завешивая виртуальную клавиатуру). Имеется достаточно приличный интегрированный отладчик с неограниченным количеством виртуальных точек останова и функцией обратной трассировки.

К сожалению, невысокая скорость эмуляции не позволяет запускать графические системы. Суди сам: эффективная тактовая частота Pentium III 733MHz падает до 1.49 MHz. Это сколько же часов будет загружаться Windows 2000?!

Работа с дисковыми образами реализована, прямо скажем, не очень. Поддерживаются только фиксированные диски, а сами образы создаются внешними средствами от независимых разработчиков. К счастью, имеется возможность прямого доступа к CD-ROM-приводу, но вот к физическим гибким дискам прямого доступа нет. Поэтому, чтобы вынести пару файлов из виртуальной машины, приходится попариться. Возможность работы со snap-shoot'ами также отсутствует (под shap-shoot'ом Bochs понимает отнюдь не состояние виртуальной машины, а копию ее экрана).