Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #58, СЕНТЯБРЬ 2005 г.

Хакер с женским лицом

Alexander S. Salieff

Спецвыпуск: Хакер, номер #058, стр. 058-092-6


Шаг 3. Написание документации

Для особенно интересных/распространенных/опасных вирусов пишутся описания, которые затем публикуются в "Вирусной энциклопедии". Для того чтобы создать описание для вредоносной программы, требуется провести ее анализ, гораздо более детальный, чем на предыдущем шаге.

Шаг 4. Обновление, тестирование, выпуск антивирусных баз

Для внесения изменений в базы используется специальная программа - редактор. Термин "добавлено детектирование", который часто встречается пользователям в ответах на присланные ими новые вирусы, может означать либо что в базы была добавлена сигнатура для данного вируса, либо что добавлен целый модуль "эвристического" детектирования. Один раз в час базы компилируются и тестируются на целом стенде машин с разными операционными системами, после чего - выпускаются, то есть выкладываются на FTP/HTTP, откуда пользователи могут забирать их вручную или при помощи модуля обновлений продукта.

Эвристические детекторы, дешифровщики, распаковщики и прочие исполняемые модули, входящие в состав антивирусных баз, пишутся специальным образом, что позволяет им быть слинкованными и запущенными под любой платформой (операционной системой) на данной архитектуре. Такие исполняемые модули называются "линками". Один и тот же линк должен одинаково успешно линковаться, запускаться и работать как под MS Windows, так и под Linux.x86, FreeBSD.x86 и т.д. Написание линков требует от вирусного аналитика досконально понимать функционирование данной архитектуры ЭВМ.

Знания вирусного аналитика довольно специфичны: они должны быть широкими и глубокими одновременно. Широкими - настолько, чтобы охватывать максимальное количество форматов файлов, архитектур и специфик операционных систем, языков программирования, сетевых протоколов. Глубокими - настолько, чтобы хорошо представлять себе внутреннюю низкоуровневую "кухню" компьютера, без чего не обойтись, когда нужно детально проанализировать дизассемблированную программу (особенно если она написана с использованием нестандартных/недокументированных приемов или с намерением затруднить ее анализ).

Назад на стр. 058-092-5  Содержание