┌──┬──┐ /╔════╗/╦══╗ /╔═══╗ ╔═══╗ /╔══╦══╗/╦ /╦/╦══╗ /╔═══╗ ╔═══╗
│┬ ┌── │║ /╩│║ /╚╗│║ / │║ │║ // │║ //│║ │║│║ /╚╗│║ /╩│║ │/╩
│├─┐│ ░░▒▒▒▓▓▓│║▓▓▓▓▓│║▓/╔╝│║▓▓▓▓▓╔╩═══╩╗▓▓▓│║▓▓▓│║▓▓▓│║│║▓/╔╝│║▓▓▓▓│║▓▒▒░
││ │├─ │║ │╠══╣ │║═ │║ │║ │║ │║ │║│╠══╣ │║═ /╚═══╗
││ ││ │║ /╦│║ ╚╗│║ /╦│║ │║ │║ │║ ╔╝│║ ╚╗│║ /╦ ╦ │║
│┴ ┘└─┘ /╚════╝/╩ /╩/╚═══╝/╩ /╩ /╩ /╚═══╝ /╩ /╩/╚═══╝/╚═══╝
│ THE CREATURES │ Computer Virus Magazine │ issue 01
│───────────────┴─────────────────────────┴───────────────────────────────
│
│ КАКИМ ДОЛЖЕН БЫТЬ ВИРУС
═══════════════════════════════════════════════════════════════════════════════
Итак, в �1 объясняется, что НЕ называется вирусом. Также примерно
говорится и о том, что такое вирус. Но остается открытым вопрос - КАКОЙ ОН,
ВИРУС? (разумеется, если вы УЖЕ спец в этом деле, то это Я должен молить вас
о сотрудничестве)
�2. Задачи вируса.
Когда я сказал своим друзьям, вирусов не писавших, что я, мол, вирус
написал, реакция быа разной, но чаще всего спрашивали "а что он у тебя делает",
имея ввиду спецэффекты, по которым они и разделяют вирусы - "вирус, который
диск портит", "вирус, который скорость работы уменьшает", "вирус, который
буковки осыпает" ну и тому (или того?) подъе@#ные. Лучшая реакция была у
одного друга (кстати, [email protected] - это его адрес), который, выпучив глаза,
страшным голосом промолвил: "Так его же Д О К Т О Р В Е Б не ловит!!!"
Что правда, то правда, этот Др. ВъЕБ мой вир не замечает. Но не о том я...
На самом же деле вот ДВЕ ОСНОВНЫЕ ЗАДАЧИ ВИРУСА:
■ Размножение
■ Маскировка
В размножение входит - поиск жертвы, заражение жертвы и в некотором
смысле еще и сосуществование с жертвой. Что касается поиска жертвы - чем умнее
в вирусе выбирается жертва, тем лучше он размножится (например, при запуске с
дискетки вирус в первую очередь должен поискать места обитания на винте).
Заражение должно происходить во-первых быстро... да и в-последних тоже.
Если при запуске какого-нибудь mouse.com комп долго-долго крутит винтом,
это подозрительно (исключение составляет работа с win'95 :) В последнюю
очередь вирус должен заботиться о КОЛИЧЕСТВЕ заражаемых за один проход
файлов.
МАСКИРОВКА. Вторая по важности функция вируса. Нормальный вирус должен:
■ При заражении файлов - не изменять длину жертвы.
■ В любом случае - не иметь явно вирусного кода (т.е. если,
просмотрев EXEшку, вы видите там строчку "Virus by KILLER", то этогт самый
KILLER - или шутник, или начинающий, хотя может быть просто балбес)
■ Защита от эвристического анализа - эмуляция процессора
хоть и пугает сначала, но потом оказывается, что это все пое@#нь.
■ Stealth - технология. TSR-вирусы используют подстановку
фальшивых данных о диске, реализуемую через временное лечение носителя,
ясно одно - TSR и не Stealth вирус - чаще всего фуфло.
■ Маскирование тела вируса - ВСЕГДА код вируса шифруется.
Если вы видите незашифрованный вирус - это или инсталлятор, или вирус
на бейсике :)
■ Полиморфность - простейшая полиморфность достигается при
использовании разных ключей шифрования (см выше). Но существуют вирусы
с необыкновенно развитым Mutation Engin'ом; как писал Russian Bear
в вирусе Tchechen, "а ну-ка поймай все штаммы".
Умный вирус использует более крутые средства, например фантомность,
трассировка прерываний (от монитоpов), сплайсинг 21h и т.п.,
CPU protected mode :), мутации, но подобное пишут асы.
Как спросил один мальчик: "Дяденька, вы папуас?"
Вот собственно и все. Остальные функции вируса НЕСРАВНИМЫ по сложности со
всем вышеизложеным. Это уже зависит от юмора автора и т.п. но в любом
случае ПРОЯВЛЕНИЕ вируса - можно сказать, лишь побочное его дейтсвие и
не что иное.
С уважением,
─────────────────────────────────────────·∙ ThePretender ∙·────────────────────
