Интервью с Олегом Зайцевым

Беседовал Александр Лозовский

Спецвыпуск: Хакер, номер #070, стр. 070-080-1

Как нам всем известно с детства, существуют разные тяжелые мужские профессии. Вот, например, конденсаторщик, занятый на производстве ртути, обточник заготовок, выносчик шлака из шурфа, массовик-затейник противотуберкулезного диспансера, скрубберщик-насосчик, в конце концов.

Но есть в мире и еще более суровая профессия – профессия борца со злом. С компьютерным злом борются целые коммерческие армии крестоносцев из Симантека, лаборатории Касперского и Диалог-Науки, с ними воюет даже могучий китайский медведь Панда. Но не перевелись на Руси и отдельные рыцари, которые выпускают свои утилиты и которые, как ни странно, оказываются конкурентоспособными и известными в компьютерном сообществе. Вот, например, антируткит-антиспайвар от Олега Зайцева (AVZ). Этот программный продукт уважает даже Николай «Горлум» Андреев (раньше трудился в нашем журнале, теперь – в «Хакере», в общем, темный персонаж), а я не могу так сходу сказать, что или кого он еще уважает, кроме Криса Касперски :). Кстати говоря, Олег Зайцев периодически писал статьи в наш журнал — в этом номере ты тоже можешь прочесть несколько его трудов, а мы сейчас зададим ему пару-другую вопросов.

XS

Приветствую, Олег! Наслышан про твой антиспайвар-антируткит. И все же, расскажи нам, чем он принципиально отличается от конкурентов в лице ADAware, SpyBOT’a?

О.З.

Если честно, я иногда не очень понимаю, чем заполнена база того же ADAware. Мусора там ... жуть. Кукисы, реестры и прочее безобразие. Поэтому я делал антиспайвер, который охотится исключительно на реальных «зверей», причем с бортовым антируткитом. Это важно - сейчас каждый десятый спайвер снабжен руткит-защитой (обычно простой, но тем не менее). Плюс в AVZ встроен простейший антикейлоггер, лечилка LSP, всякие эвристические проверки системы. А главное - AVZ работает без инсталляции, что позволяет его применять для оперативной чистки и проверки ПК. Еще поддерживаются внешние скрипты - они позволяют полностью автоматизировать работу AVZ, что дает возможность админу включить его в автозапуск на ПК юзеров и затем только анализировать логи. Но всеже AVZ — больше инструмент для анализа, чем антиспайвер с единственной кнопкой "Мочить всех шпионов".

XS

Знаем, плавали :). ADAware - вообще, любитель убивать страшные угрозы «средней тяжести» типа tracking cookies. Это, наверное, даже страшнее, чем страшный вирус «not-a-virus-mirc-6.12» :). Мне вот всегда было интересна такая фича, как база безопасных объектов, чтобы юзеров не вводил в заблуждение super_system_mirrosoft_32.exe, висящий в памяти. Как ты не перенапрягся, создавая ее? Это же тысячи объектов?

О.З.

База безопасных файлов - моя гордость. Во-первых, она отсекает ложняки, если они вдруг возникают, так что "чистый" файл вне подозрения. Во-вторых, резко сокращает размер протокола исследования системы и упрощается сам анализ. А создать ее было действительно трудно: набить базу кучей файлов из всяких дистрибутивов не составляет труда, а вот отобрать наиболее распространенные файлы - гораздо сложнее. Плюс анализ чистого файла иной раз сложнее, чем "зверя" ... Сильно помогает форум virusinfo.info - там организован специальный сервис для присылки объектов, которые AVZ не детектит как чистые. С его помощью и идет основное пополнение баз. Кроме того, со мной сотрудничает ряд компьютерных фирм - они после начинки продаваемого ПК собирают неопознанные файлы и присылают мне. Ну и сам AVZ помогает: например, его антикейлоггер реагирует на все левые DLL, что приводит к их присылке на анализ и пополнению базы.