Хакер с женским лицом

Alexander S. Salieff

Спецвыпуск: Хакер, номер #058, стр. 058-092-5

XS> Какие этапы своего профессионального пути можешь назвать достижениями?

A> Не знаю: когда путь самоценен как процесс, смысл понятия "достижение" теряется.

Ну, может быть, анализ первого в мире вируса (file infector) для портативных устройств под WinCE (Virus.WinCE.Duts.a, прим. ред.). Была середина ночи, я не знала ни ARM-ассемблера, ни целевой операционки, а разобраться нужно было как можно быстрее. Это был отличный challenge. Потом были аналогичные ситуации с другими "первыми" мобильными вирусами (под Symbian в том числе), но когда пути хоженые, уже не так интересно.

XS> Каким ты видишь будущее своей профессиональной области и личное будущее?

A> Профессиональной области по меньшей мере ничто не угрожает, кроме расширения и интеграции с другими направлениями IT-security. Не хочется строить прогнозы судьбы области, в которой я работаю: будущее и так к ней придет, без меня и нас. Что касается меня, есть некий список тропинок, которые хочется пройти, и тропинки не связаны с актуальной профессиональной областью. Есть подозрение, что я скоро уйду из IT - навсегда или на время, сбалансировать голову (то есть перестать видеть сны про то, как твои указатели ссылаются на NULL).

XS> И под конец скажи что-нибудь для тех наших читательниц, которых стереотипы заставляют сомневаться на этапе вступления в профессиональную область IT-security.

A> Тут просто: если область действительно интересует, если это не образ или престиж, перед вступлением в нее ничто не остановит, тем более такой нормальный социальный объект, как стереотип.

Да, сложновато бывает. Те, кому не удается этот конфликт в себе разрешить, могут утешаться следующим образом: любой отдельно взятый носитель стереотипов об IT-женщинах, если только он не совсем биоробот, всегда может сделать исключение персонально для Вас.

Антивирусная кухня

Шаг 1. Получение сэмпла

Часть зараженных сэмплов приходит от пользователей (необязательно от клиентов: любой человек может прислать файл для проверки), часть - от партнеров, включая антивирусные компании и независимых исследователей. Для работы с входящей почтой используется специальное программное обеспечение, реализующее систему сбалансированного распределения писем по вирусным аналитикам, и кое-какие дополнительные функции. Это ПО - основной интерфейс взаимодействия вирусного аналитика с внешним миром.

Шаг 2. Анализ сэмпла

Первый этап - полуавтоматический предварительный анализ и сбор информации, который производится над всеми объектами вне зависимости от их типа. На этом этапе определяется, есть ли в антивирусных коллекциях что-либо подобное анализируемому объекту и какая информация по данному типу программ уже имеется. Второй этап - детальный анализ сэмпла. На этой стадии к работе подключаются специализированные утилиты - те или иные в зависимости от специфики каждого файла. При помощи них файл приводится к виду, удобному для анализа человеком, то есть файл распаковывается/декомпилируется/дизассемблируется/дешифруется/раскладывается на составляющие в соответствии с форматом и т.п. Используются как внутренние разработки, так и собственноручно написанные или внешние программы. Весь последующий анализ эксперт производит вручную. При необходимости программа запускается на тестовой или виртуальной машине. В итоге вирусный аналитик самостоятельно выносит вердикт (имеется ли в данном объекте деструктивная составляющая) и, в случае положительного ответа, классифицирует новый вредоносный объект и придумывает для него имя.