книги хакеры / журнал хакер / специальные выпуски / Специальный выпуск 35_Optimized

Так закалялась сталь (на рисунке процесс создания файла типа *.asm)

ACCESS MACRO GENERATOR

Win9x/WinNT

Size

106 Êá

http://vx.netlux.org/vx.php?id=ta06

PETIK SCRIPT WORM AND VIRUS GENERATOR

Win9x/WinNT

Size

30 Êá

http://vx.netlux.org/vx.php?id=tidx

Дизайн "генератора" - сама простота

Если интерфейс генераторов всякой вредоносной начинки будет упрощаться так стремительно, как сейчас, то скоро либо Касперский станет богатым, как Билл Гейтс, либо люди будут убивать комп выходом в интернет. Вот такие мысли навеяло знакомство с PetiK Script Worm and Virus Generator.

Есть программисты, которые пишут гениальные программы, но не могут (не хотят) снабдить их понятным интерфейсом. Но этот, видимо, пошел другим путем. Нарисовал 4 кнопки, но так и не придумал им достойного применения. Его генератор делает VBS-чер- вя и "HTML"-вирус. Червь ничего, кроме размножения, не делает, а вирус заражает несколько папок.

Ну вот, в общем-то, и все, что можно сказать про эту прогу...

Это все, что умеет делать PetiK Script Worm and Virus Generator (а какое при этом название гордое)

Одинокое черное окно - вот и все, что, по мнению автора, требуется создателю вирусов...

Представь себе, что в Сети появился вирус, который убивает всю инфу на винте. Разумеется, от него нет спасения. Поэтому через пару-тройку дней работоспособные компьютеры остаются только у тех, кто успел купить последние "серые" форточки на Горбушке, и у создателя этого чуда вирусописания. Так что если хочешь сохранить инфу на своем жестком диске, убей инфу на винте потенциального противника (во как!). В этом тебе частично поможет конструктор под названием ACCESS MACRO GENERATOR. Прежде чем приступить к описанию этого продукта, приведу несколько строк из "документации": "Имею честь представить Вам одну из самых удачных моих разработок, имя которой - AMG. В этом генераторе вы можете делать вирусы для access97. На самом деле, AMG - это убийственный генератор, в том смысле, что почти все функции потенциальных вирусов (5 из 6) заключаются в том, чтобы убить чтонибудь из информационных запасов бедного юзера. Единственная вещь, которая не соответствует этому определению и которую также можно добавить в вирус - это messagebox (achtung!!!)." Так что же конкретно можно сделать с помощью этой проги? Убить все файлы на диске, убить только dll, не оставить в живых мастдай или отправить в последний путь программные файлы. Резюме: этот генератор предоставляет множество способов извращения над жестким диском, но, к сожалению, ничего большего. И поскольку он соз-

Велика мысль русского человека!

дение этим мелким и ужасным монстрам - вирусам. К счастью, есть, чем прикрыть свой зад. Действительно хороших антивирусов существует более чем достаточно, но рассуждать, какой из них лучший - чистой воды демагогия. Цель же этой статьи - обзор антивирусов, которые стоит использовать в регулярной уборке своего компьютера. А какой из них поставить - выбирай сам и пользуйся на здоровье.

DOCTOR WEB (WWW.DRWEB.RU)

»Настоящий ветеран борьбы с вирусами, появившийся еще

во времена DOS (тогда еще были актуальны дискеты 5,25 дюйма). Теперь это полноценный 32-битный борец с вирусами, работающий в Windows 95/98/NT, DOS/386, OS/2, Novell NetWare Linux и FreeBSD.

Программа разделена на оболочку, ориентированную на конкретную ось, и ядро, не зависящее от среды обитания. Это удобно при использовании одной вирусной базы для разных осей, автоматического пополнения вирусной базы и обновлений оболочки и ядра.

Дополнения к вирусной базе появляются не реже одного раза в неделю (www.drweb.ru/get), при этом ты можешь ознакомиться с новыми поступлениями в деталях - www.drweb.ru/news.

KASPERSKY ANTIVIRUS (ANTIVIRAL TOOLKIT PRO) (WWW.AVP.RU)

»Один из самых популярных антивирусов у нас и на западе.

Прежде назывался AVP, но из-за частых подделок названия был позднее переименован в Kaspersky Antivirus. Есть версии для freeBSD Unix, BSDi Unix, Linux, Lotus Notes R5.02 и выше, OpenBSD, Palm OS, Solaris, Windows 2000/95/98/CE/ME/NT/XP.

Настоящий монстр по частоте обновлений - два раза в день (около 6 вечера и около 3 утра). Кроме этого есть еженедельные обновления и кумулятивные обновления - полное обновление комплекта антивирусных баз один раз в два-три месяца.

Помимо поиска вирусов, имеющихся в антивирусной базе, умеет обнаруживать неизвестные вирусы благодаря технологии эвристического анализа второго поколения (к примеру, позволил обнаружить разновидности вируса "ILOVEYOU"). Не менее полезная фишка - контроль целостности данных. При обнаружении вирусной активности (несанкционированные изменения в файлах или системном реестре) позволяет восстанавливать исходники и удалять вредоносные коды.

Есть встроенный монитор реального времени, особенно актуальный для фильтрации электронной почты. Важно, что программа не только удаляет вирусы из тела письма, но и восстанавливает оригинальное содержимое.

ESET NOD 32 (WWW.NOD32.COM.AU)

»Австралийский вундеркинд, получивший множество прес-

тижных наград за борьбу с вирусами. Работает под Windows 95/98/ME/NT/2k/XP, UNIX/Linux, Novell, MS DOS, Lotus Domino и т.д. Движок сканирующих модулей для всех платформ одинаковый.

Монитор AMON (Antivirus MONitor) запускается автоматически при загрузке системы и позволяет предотвратить открытие и исполнение зараженных файлов. Сохраняет активность даже в процессе выклю- чения системы (shutdown). Сканирует как локальные, так и сетевые диски. Умеет оперативно оповещать через электронную почту по SMTP-протоколу.

Для анализа трафика при сетевом подключении есть отдельный модуль - IMON (Internet MONitor), работающий на уровне Winsock-а. Для анализа входящей почты используется EMON (Email MONitor), который подменяет собой стандартный POP3фильтр.

PANDA ANTIVIRUS PLATINUM (WWW.PANDASOFTWARE.COM)

»Аналог AVP, с встроенной технологией эвристического ана-

лиза, позволяющей опознавать и обезвреживать неизвестные вирусы. При этом требования к ресурсам смешные: процессор 90 МГц, 32 Мб оперативной памяти и 20 Мб сво-

Сами производители называют свое детище "поставил и забыл". Программа сама запускается при старте системы, сама все отслеживает, исправно рисует отчеты и запрашивает через интернет обновления антивирусных баз. Доступны ежедневные и кумулятивные (полностью вся антивирусная база) обновления.

Встроенная технология SmartClean позволяет корректно обезвреживать зараженные файлы, восстанавливая поврежденную информацию. А модуль проверки входящей электронной почты, что сейчас актуально, проверяет письма до того, как они будут открыты, исключая возможность заражения через скрипты, которые автоматически активизируются при открытии писем.

»Антивирусы семейства McAfee Security предназначены для

комплексной антивирусной защиты, начиная от карманного или персонального компьютера до распределенной сети. Работает с Windows 95/98/ME/NT/2k/XP, DOS, Macintosh, Novell Netware, FreeBSD, Linux, HP-UX, AIX, SCO, Solaris, MS Exchange, Lotus Notes/Domino, Palm OS, Windows CE/Pocket PC и EPOC (Psion).

Среди других антивирусов выделяется своими наработками по защите сетей. Разработанный модуль ThreatScan не имеет аналогов и позволяет обнаруживать незащищенные, неуправляемые, зараженные или уязвимые машины в сети. В результате, позволяет предотвратить массовые эпидемии внутри сети. Открытые сетевые ресурсы могут явиться причиной повторных эпиде-

SPECial delivery ПОСТАВЬ ПРЕДОХРАНИТЕЛЬ

TREND MICRO PC-CILLIN (WWW.ANTIVIRUS.COM)

»Интересный гибрид антивируса

ñфаерволом (firewall) - PC-cillin 2003, работает в Windows 98/98SE/Me/NT/2000/XP. Именно совмещение антивируса и фаервола обеспечило этой программе неплохое будущее.

Фаервол позволяет эффективно отслеживать и фильтровать весь трафик, сводя на нет любые атаки извне на твой компьютер. Аналогич- но блокируются несанкционированные обращения изнутри - ведь возможно, что у тебя уже сидит троян, управляемый гнусным сопливым хакером. Блокировать можно как порты, так и запросы с определенных адресов.

Почему-то широко распространено ошибочное мнение, что все зависит от того, какой антивирус поставишь, а дальше как по маслу. Несомненно, важно, какой антивирус ты используешь, но не менее важно и то, как ты его настроил. Есть неписанные правила, которые актуальны для любого антивируса:

Обновляй антивирусные базы как можно чаще. Сканирование со старой базой - пробуксовка на месте. Не поленись зайти на сайт производителя и узнать, как часто доступны новые поступления. Порой это один из главных критериев при выборе антивируса при прочих равных.

Всегда используй возможности антивируса по максимуму. Да, работа замедлится, но шансы пропустить заразу будут сведены к нулю. В настройках выбирай сканирование всех файлов (любых форматов и размеров), почтовых баз и архивов. Если есть настройка сложности анализатора кода - ставь на максимум! А вот вклю- чать реалтайм монитор или нет - вопрос спорный. Как мне кажется, достаточно регулярно проверять все и вся, не загружая ресурсы компьютера постоянным мониторингом.

Если что-то скачиваешь из интернета - сразу на проверку, еще до инсталляции. И не надейся на включенный монитор, он может элементарно запоздать или не сработать, все бывает.

Учитывая новые тенденции, программа позволяет защитить компьютер от атак при использовании в сети Wi-Fi. У нас это пока не актуально, но кто знает.

Кроме того, этот антивирус умеет работать с PDA, используется в Palm, Pocket PC и EPOC.

F-SECURE ANTI-VIRUS (WWW.F-SECURE.COM)

»Производитель предлагает два решения: F-Secure Anti-Virus

2003 è F-Secure Internet Security

2003. Первое - просто антивирус, второе - аналогично PC-cillin, с встроенным фаерволом. Поддерживает следующие платформы: Windows XP/ME/2000/NT/98/95.

Фишка этой софтины - внешняя простота, совмещающая в себе эффективный движок, автоматическое обновление антвирусных баз и безотказную работу. О многом говорит самая высокая оценка среди семи других тестируемых антивирусов, данная этому антивирусу шведским интернет-изданием

(http://sartryck.idg.se/Art/Virus3_iw3 2003.html) в марте 2003 года.

При поиске вирусов используется многомодульный движок, каждый модуль занимается поиском вирусов только определенного типа. Это позволяет ускорить поиск и обеспечивает эффективность его результатов. Каждый модуль использует эвристи- ческий анализ, позволяя отлавливать еще не известные вирусы или разновидности уже существующих вирусов (последнее наиболее актуально).

ALADDIN KNOWLEDGE SYSTEMS ESAFE (WWW.EALADDIN.COM)

»Еще один номинант - "Лучший антивирус 2002 года" в PC Magazine

(www.pcmag.com). Состоит из шести (!) модулей: антивирус, антивандал, защита от хакеров, антиспам, фильтр похождений по вебу и защита почты. Все шесть модулей очень эффективны по отдельности, а вместе - просто ураган.

Антивирус проверяет и лечит все, что только можно. Самое забавное, что в технологии Second Opinion (второе мнение) применяется движок от

Лаборатории Касперского, позволяя удвоить эффективность поиска и ле- чения разношерстных вирусов. Внедрение "второго мнения" было необходимо, так как собственный движок не спасал от некоторой нечисти, с которой отлично справляется AVP, особенно с разновидностями троянов.

Антивандал - модуль, который отсекает всевозможные макровирусы, так популярные в Word'е, Excel'е и прочих "замечательных" программных продуктах от Майкрософт. Кроме этого, модуль борется с нехорошими скриптами, которые встречаются на сайтах и в присылаемых письмах.

Защита от хакеров представлена тремя технологиями: XploitStopper, Anti-hacking и Anti-spoofing. Из их названий уже понятно, что их действие направлено на пресечение любых DoS-атак, эксплоитов и попыток вторжения извне через сайты и электронные письма.

Антиспам имеет множество настроек, по которым фильтруется входящий трафик: черный список, проверка DNS, блокировка по словам, блокировка очевидного спама, проверка заголовков, анализ текста, сигнатур и многое другое. Мало не покажется :).

COMMAND ANTIVIRUS (WWW.COMMANDCOM.COM)

»Многоплатформенный антивирус, имеющий версии практи-

чески для всех известных операци-

онных систем. Среди отличительных особенностей - динамическая защита (DVP, Dynamic Virus Protection), планирование, технология drag'n'- drop, администрирование сетей и технология Holocheck.

Идея динамической защиты предельно проста - при каждом обращении к любым носителям в обязательном порядке проверяется загрузочный сектор. Планирование тоже очевидно - можно задавать день, время и периодичность сканирования на наличие вирусов.

Технология drag'n'drop - незаменимая штука в быту. Если в остальных

антивирусах, чтобы просканировать отдельный файл, нужно было менять настройки задачи, то тут достаточно мышкой кинуть подопытный файл поверх окна программы.

Администрирование сетей спасает, если нужно отслеживать несколько машин, управляя всеми с одного компьютера, на котором будет отображаться, где и что случилось. И, наконец, технология Holocheck предназначена для комбинированного анализа по сигнатурам и внешним проявлениям файлов и процессов, эффективно определяя известные и неизвестные вирусы.

COMPUTER ASSOCIATES INOCULATEIT (WWW.CAI.COM)

»Еще один комплексный продукт, обеспечивающий обширную за-

щиту от вирусов - eTrust Antivirus. Работает под Windows 9x/Me/NT/2000/XP, Palm OS/PocketPC, Linux, Solaris, Macintosh,

ТЕХНИКА » ОПТИМИЗАЦИИ ПРОГРАММ. ЭФФЕКТИВНОЕ

ИСПОЛЬЗОВАНИЕ

ПАМЯТИ

Автор:

Крис Касперски

Издательство:

BHV

Год издания:

2003

»Крис Касперски - один из самых известных в России

специалистов в области компьютерной безопасности, а также большой знаток ассемблера и компьютера в целом. Твоему вниманию предлагается книга, посвященная технике оптимизации программ. Многоуважаемый Крис поработал на славу, представив читателю уникальное практическое пособие по оптимизации программ под платформу IBM PC и операционные системы семейства Windows. Автор скрупулезно описывает архитектуру, философию и принципы функционирования оперативной и кэш-памяти. В книге

ты найдешь недокументированные секреты, существование которых компании Intel и Microsoft хотели бы утаить, множество оригинальных приемов программирования и готовых решений, перечень ошибок начинающих программистов, которые заметно снижают производительность системы. Если ты прочтешь эту книгу, твои друзьявирмейкеры будут с замиранием сердца изучать код твоего вируса, написанный под чутким руководством Криса.

СЕКРЕТЫ ХАКЕРОВ. БЕЗОПАСНОСТЬ WINDOWS 2000 - ГОТОВЫЕ РЕШЕНИЯ

Автор:

Д.Скембрей, С.Мак-Клар

Издательство:

Вильямс

Год издания:

2002

»Читая каждый день BugTraq, ты сталкиваешься с

сообщениями о том, что один из продуктов компании Microsoft подвержен тому или иному багу. В

результате чего большинство аналитиков считают нецелесообразным устанавливать на платформу Win любой сервис (например, веб-сервер), тесно связанный с сетью интернет. Но есть люди, которые придерживаются совсем иного мнения. Они утверждают, что главная беда состоит не в том, что продукты компании Microsoft лишены определенного уровня безопасности. Дело в том, что многие админы просто не ставят вовремя заплатки, в результате чего толпы юных хакеров берут штурмом их сервера. И они отчасти правы. При должной настройке, в чем и поможет эта книга, системы на ядре WinNT (а я имею в виду Win2k и WinXP) представляют крепкий орешек для взломщика. Ладно, хватит теории, давай ближе к телу. В начале книги тебя познакомят с общим устройством данной OS, затем посвятят в тайны проведения анализа и сбора информации при помощи NetBIOS, подробно расскажут о методах взлома SMB/CIFS. Также в книге имеется полный мануал по защите вебсервера IIS, базы данных SQL. Если ты админишь тачку под управлением OS Windows, эта книга должна на время стать твоей библией.

ЭНЦИКЛОПЕДИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

Автор:

Козлов Д.А., Парандовский А.А., Парандовский А.К.

Издательство:

СОЛОН-Р

Год издания:

2001

»Название этого талмуда не отражает его полного

содержания. Я бы, скорее, назвал его "Как написать вирус", так как бОльшая часть - именно об этом.

и способы его применения для защиты информации. Каждый правильный хакер должен быть компетентен в вопросах криптографии и защиты информации, так что обрати внимание на этот толковый талмуд. Теперь немного о самой книге. Первая глава (а всего их три) рассчитана на начинающего программиста. Она описывает архитектуру компьютера IBM PC, систему команд, способы адресации данных, системные функции, некоторые приемы программирования. Вторая глава рассказывает о криптографических методах и возможных способах решения задач контроля

107

Windows и сетевой операционной системы Novell Netware. Наряду с такими сложными темами, как работа в защищенном режиме, организация защиты информации

Книга состоит из двух частей: теория и практика. Теоретическая часть начинается с истории вирусов: когда было зарегистрировано их появление, как вирусы оказались в России, и где произошла первая дикая "эпидемия". Есть интересная глава про суть вирусов: их методы и принципы действия, в каких формах

èтипах они существуют. А еще в этой главе авторы пытаются донести до читателя оценку их реальной опасности. Прежде чем приступить к обзору практической части, напомню, что весь код - на ассемблере. Ты научишься создавать огромное количество различных вирусов: и резидентные,

èнерезидентные, и com, и еxe, а также загрузочные и макро-вирусы. К сожалению, намного меньше внимания уделено методам защиты. Но несмотря на этот недочет, в книге толково расписано, как определить, заражен ли твой компьютер, что делать, если найден загрузочный вирус, как можно восстановить файлы после буйства "заразы", а также как распознать полиморфного зверя. Если ты хочешь узнать побольше о вирях - эта книга для тебя.

АССЕМБЛЕР В ЗАДАЧАХ ЗАЩИТЫ ИНФОРМАЦИИ

Автор:

Бурдаев О., Иванов М., Тетерин И.

Издательство:

Кудиц-Образ

Год издания:

2002

»Как говорил один мой знакомый, без криптографии

сейчас никуда. Полностью поддерживая его мнение, я обратил внимание на книгу, в которой подробно рассмотрен язык программирования Ассемблер для семейства процессоров Intel 80x86

целостности и обеспечения секретности информации. Третья глава посвящена специфическим применениям Ассемблера, таким как защита программ от статического и динамического исследования, борьба с вирусами, `изощренное` программирование. Для нас эта глава представляет наибольший интерес, а если ты не силен в асме, то тебе поможет следующая книга...

АССЕМБЛЕР. УЧЕБНЫЙ КУРС (2-Е ИЗДАНИЕ)

Автор:

Пирогов В.

Издательство:

BHV

Год издания:

2003

»В этой книге рассматриваются вопросы, связанные с

программированием на ассемблере для операционных систем MS-DOS и Windows. Приведены примеры программирования периферийных устройств на уровне регистров ввода/вывода. Программирование с использованием API изложено применительно к функциям операционных систем MS-DOS,

на диске и программирование контроллера прерываний, приводится материал и для начинающих, в частности, описана структура программ и их трансляция, работа с файлами и использование ассемблера с языками высокого уровня. В книгу включены около 150 примеров работающих программ с подробным разъяснением их устройства. Если ты хочешь научиться виртуозно программировать на ассемблере, эта книга должна у тебя быть.

УКРОЩЕНИЕ ИНТЕРНЕТА

Автор:

Крис Касперски

Издательство:

СОЛОН-Р

Год издания:

2002

Крис Касперски не сидит без дела, выпуская шедевр за шедевром. Книга "Укрощение Интернета" стала четвертой в популярной серии

»