Раздел: Документация
0 ... 110 111 112 113 114 115 116 ... 169 ционной системы — присуща многим программам, которые не являются вирусами. Например, самая распространенная операционная система MS-DOS имеет в себе все необходимое, чтобы самопроизвольно устанавливаться на He-DOSoBCKire диски. Для этого достаточно на загрузочный флоппи-диск, содержащий DOS, записать файл AUTOEXEC. BAT следующего содержания: SYS А: COPY *. * SYS В: COPY* В:\ SYS С: COPY *. * С:\ Модифицированная таким образом DOS сама станет самым настоящим вирусом с точки зрения практически любого существующего определения компьютерного вируса. Таким образом, первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, которые соответствовали бы только вирусам. Второй же трудностью, возникающей при формулировке определения компьютерного вируса, является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционныев которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т. е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях. Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом. Обязательное свойство вируса Обязателъншп и необходимыми свойствами компьютерного вируса являются возможности создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. 341 Следует отметить, что это условие не является достаточным (т. е. окончательным), поскольку, следуя вышеприведенному примеру, операционная система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является. Вот почему точного определения вируса нет до сих пор и вряд ли оно появится в обозримом будущем. Следовательно нет точно определенного закона, по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет. Вот два примера: вирус КОН и программа ALREADY. СОМ. Пример 1. Есть... вирус? утилита? с названием КОН. Эта программа шифрует/расшифровывает диски только по запросу пользователя. Выполнена она в виде загрузочной дискеты — boot-сектор содержит bootstrap loader КОН, а где-то в других секторах лежит основной код КОН. При загрузке с дискеты КОН задает пользователю вопрос типа: «А можно я сам себя установлю на винчестер?» (если он уже на винчестере, то спрашавает то же самое про дискету). При утвердительном ответе КОН переносит себя с диска на диск. В результате КОН переносит (копирует) сам себя с дискеты на винчестер, а с винчестера на дискеты, но только с разрешения хозяина компьютера. Затем КОН выводит текст о своих hot-keys («горячие» клавиши), по которым он шифрует/расшифровывает диски — спрашивает пароль, читает сектора, шифрует их и делает недоступными, если не знать пароля. Есть у него, кстати, ключ деинсталляции, по коему он сам себя с диска убирает (расшифровав, естественно, все, что было зашифровано). Итого, КОН — это некая утилита защиты информации от несанкционированного доступа. Добавлена к ней, правда, одна особенность: сия утилита сама себя может копировать с диска на диск разрешения пользователя). Вирус ли это?.. Да или нет? Скорее всего - нет... И все бы было ничего, и никто бы эту утилиту по имени КОН вирусом не обозвал, но только bootstrap loader у этого КОН практически на 100% совпадает с довольно «популярным» вирусом «Havoc» («StealthBoot»)... «и все - и крышка празднику». Вирус! И официальное название есть - «StealthBoot. КОН». Если бы, конечно, автором КОН был бы не безызвестный программист, а, скажем, Спмаптск, или Sierra, или даже Сам Microsoft, то никто бы и не посмел назвать это вирусом... 342 Пример 2. Есть некая программа ALRHADY.COM, которая сама себя копирует в разные подкаталоги на диске в зависимости от системной даты. Вирус? Конечно, да - типичный вирус-червь, сам себя расползающий по дискам (включая сетевые). Да?.. Да! «Вы играли, но не угадали ни одной буквы!» Не вирус это, как оказалось, а компонента от какого-то софтвера. Однако если этот файл выдернуть из этого софтвера, то ведет он себя как типичный вирус. Итого были приведены два живых примера: не вирус - вирус 2. вирус - вирус. читатель, который прочь поспорить, может возразить: Стоп. Название «вирусы» по отношению к программам пришло из биологии именно по признаку саморазмножения. КОН этому условию соответствует, следовательно, это есть вирус (или комплекс, включающий вирусный компонент)... В таком случае DOS является вирусом (или комплексом, включающим вирусный компонент), поскольку в нем есть команда SYS и COPY. А если на диске присутствует файл AUTOEXEC.BAT, приведенный несколькими абзацами выше, то для размножения не потребуется даже вмешательства пользователя. Плюс к этому: если принять за необходимый и достаточной признак вируса возможность саморазмножения, то тогда любая программа, имеющая инсталлятор, является вирусом. Итого: аргумент не проходит. ... что, если под вирусом понимать не просто «саморазмножающийся код», но «саморазмножающийся код, не выполняющий полезных действий или даже приносящий вред, без привлечения/информирования Вирус КОН является программой, шифрующей диски по паролю, вводимому пользователем. Все свои действия КОН комментирует на экране и спрашивает разрешения пользователя. Плюс к тому имеет деинсталлятор — расшифровывает диски и удаляет с них свой код. Однако все равно — вирус! Если в случае с ALREADY.COM привлечь субъективные критерии (полезна/не полезна, входит в комплект/самостоятельна и т. п.), то, возможно, это и стоит называть вирусом/червяком. Но стоит ли привлекать эти самые субъективные критерии? 343 0 ... 110 111 112 113 114 115 116 ... 169
|
