special faq

КРИС КАСПЕРСКИ АКА МЫЩЪХ

Спецвыпуск: Хакер, номер #070, стр. 070-088-2

СПЕЦ: Пользуешься ли упаковщиками и протекторами для противодействия аверам?

X-DRAGON: Когда-то пользовался, но потом признал эту практику порочной и послал все протекторы на три икса. Во-первых, аверисты не спят и оперативно учатся распаковывать новые протекторы, так что такая мера ни от чего не спасет. Во-вторых, все мои шпионы пишутся индивидуально и, хотя они содержат некоторые постоянные фрагменты (ту же упомянутую библиотеку), при перекомпиляции другим компилятором с другими ключами они преображаются до неузнаваемости. В-третьих, гораздо выгоднее использовать свой встроенный мини-шифратор на основе SSE-команд, с эмуляцией которых у аверов большие проблемы. Да что там SSE, многие команды 8086 процессора (такие, например, как AAA) большинством аверов эмулируются неправильно, а, значит, они не смогут расшифровать код, даже если расшифровщик будет состоять всего из нескольких машинных команд. Во всяком случае, это мой код, за который я отвечаю и прилагаю все усилия, чтобы он работал правильно. Популярные протекторы содержат массу ошибок, и доверить им защиту своих шпионов я не могу, просто не имею на это морального права перед своими клиентами.

СПЕЦ: А какие гарантии клиентам? Возможно ли засечь шпионов?

X-DRAGON: Гарантии обычные — то есть никаких гарантий. По-другому просто не получится. Никто не застрахован от ошибок и я в том числе. Естественно, опытный хакер, умеющий держать отладчик в руках, сможет обнаружить шпиона, если сильно озаботится этой целью. Но для этого ему придется проделать большую и кропотливую работу, которой никто не будет заниматься просто так, если нет подозрения. А подозрений не будет, потому что мои шпионы ведут себя максимально корректно, обходят защитные системы, не замедляют работу компьютера и ни с чем не конфликтуют. Хотя проколы и со мной тоже случаются...

СПЕЦ: Что за проколы?

X-DRAGON: Например, однажды мой шпион случайно отобрал фокус у окна winlogon'а и не возвратил, некоторые пользователи обратили на это внимание (так как раньше они просто набирали пароль при входе в систему, а теперь на окно приходилось кликать). Вот мой шпион и погорел. Несколько раз напарывался на сюрпризы недокументированных возможностей, неожиданно менявшихся в очередном service pack'е без всякого предупреждения и лишающих шпиона работоспособности, а меня — репутации и заработка. Сейчас я полностью отказался от использования недокументированных возможностей и намерен придерживаться той же стратегии и в дальнейшем.

СПЕЦ: Шпион и без недокументированных особенностей?!

X-DRAGON: Представь себе, написать шпиона, использующего только документированные возможности, вполне реально, и он от этого только выиграет. Да, в использовании недокументированных возможностей есть какой-то романтизм, но в серьезных разработках использовать их недопустимо! Это могут делать либо очень опытные гуру, либо пионеры. Я же не отношусь ни к тем, ни к другим. Кстати, MS в последнее время «рассекретила» множество функций, бывших ранее недокументированными, чем серьезно облегчила мне и моим коллегам жизнь.