Мечко опустил голову и увидел крошечного ушастого котенка, который,
отчаянно пища, улепетывал по траве, устлавшей мостовую, в панике озираясь и
снова ускоряя бег. Был он белый, с пепельно-рыжими подпалинами и ярко-рыжим
хвостом. И Мечко провожал его остекленевшими от изумления глазами, пока
вдруг не вонзилась в самое сердце надежда, и он не обернулся к костру...
где на черных угольях лежала Мадэйлен, и обнаженное тело ее матово
светилось и розовело, как только что распустившийся цветок.
Мечко бросился вперед, срывая с плеча куртку, подхватил Мадэлейн, закутал
ее, прижал к себе. Она принадлежала отныне только ему - вся и всякая, живая
и мертвая, и только его взгляд мог отныне касаться сокровенных и
совершенных изгибов ее тела, только его руки, только его!..
Когда голова Мадэлейн легла на его плечо, а побледневшие губы сонно
дрогнули у его щеки, он посмотрел наконец на Эльфа. Напряжение и ужас сошли
с его лица. Оно было все еще бледным, но как всегда спокойным, чуть
высокомерным. Он странно смотрел на Мечко - как бы с досадой, покачивая
головой, но вот усмехнулся, пожал плечами.
- Ну ладно, пусть так, - проворчал он. - Ох и ловок же ты оказался! А я
уж было решил - мазила... - И он замахал над головой руками, подавая знаки
висящим вверху ветроловам.
А Мечко стоял, все крепче прижимая к себе Мадэлейн, и ему не давало покоя
какое-то воспоминание... какое-то слово, известное Георгию Мечкову,.. в нем
было что-то неизмеримо важное, но вот что это за слово, он никак не мог
припомнить. И уже потом, когда из лесу выбежал, словно ждал своего часа,
верный конь Херфинус, потом, позже, когда Мечко вскочил в седло и ревниво
принял от Эльфа, помогающего ему, Мадэлейн, опять охватив ее кольцом своих
рук, потом, когда тронул стременем Херфинуса и тот мягкой рысью двинулся к
лесу, - только тогда Мечко, наконец, вспомнил.
Это слово было пирокатарсис, что по-дневнегречески означает - очищение
огнем.
(c) ТЕХНИКА-МОЛОДЕЖИ N 05/97
Андрей Ефимов, anri@aha.ru
ЗАРАЗА ОСОБОГО РОДА
(Окончание. Начало в № 5 за этот год)
ДОКТОРА К БОЛЬНОМУ!
Как бороться с компьютерными вирусами? Самый надежный способ защиты от
заражения - профилактика. Оградите ваш ПК от случайных связей с другими
компьютерами, а если все-таки вступаете в более тесные отношения с
незнакомой программой, то хотя бы убедитесь, что она не "заразна".
Старайтесь не допускать посторонних к вашей машине. Ну и, конечно же,
регулярно проверяйте свой компьютер на наличие вирусов. Для этого имеется
много средств.
Причем лучшие из них - отечественного производства. Российские
антивирусные программы предпочтительны уже потому, что весьма оперативно
учитывают последние "достижения" не только забугорных, но, прежде всего,
здешних вирмейкеров. Можно, конечно, пользоваться популярными зарубежными
программами: McAfee, AVAST, ThunderBYTE, F-PROT, пакетом Norton Antivirus
фирмы Symantec или стандартными средствами, входящими в состав DOC, Windows
или OS/2, однако все они, на мой взгляд дружно пасуют перед стойкостью и
разношерстностью наших вирусов. Итак, чем мы располагаем.
Программы-детекторы. Сами по себе большой ценности не представляют. Их
назначение - обнаружить вирус, а бороться с ним придется другим программам
или системным программистам. В настоящее время "чистые", "беспримесные",
детекторы вымирают.
Программы-фаги (полифаги). Эти умеют не только опознавать вирусы, но и
обезвреживать их. Долгое время лучшим полифагом в России считалась
программа Aidstest. Она обладала целым рядом достоинств: находила и
нейтрализовала большое количество вирусов, еженедельно обновлялась, надежно
контролировала свой собственный код, очень быстро работала с дисками. Но,
увы, о лидерстве Aidstest приходится говорить в прошедшем времени. 3
февраля вышла ее последняя официальная версия за номером 1689, а в
дальнейшем планируется лишь выпуск отдельных версий для борьбы с одиночными
вирусами.
Программы-ревизоры. Главный недостаток фагов состоит в том, что им
известно пусть и очень большое, но конечное число вирусов. И если ваша
машина подхватит что-то незнакомое фагу, то он не только не поможет, но
даже не предупредит об опасности. Ревизор же, запускаясь с некоторой
периодичностью, сохраняет информацию о всех уязвимых, с точки зрения
вирусов, компонентах компьютера. Антивирусный ревизор Adinf, к примеру,
контролирует загрузочные сектора дисков, изменения некоторых файлов,
векторы жизненно важных прерываний. Вирусы не всесильны - при всей своей
скрытности они так или иначе проявляют себя, и дело ревизора отследить
подозрительные изменения в подконтрольной ему области. Даже наводящие ужас
вирусы-невидимки (Stealth) демаскируют себя. Их основным защитным свойством
является способность перехватывать прерывания операционной системы и
прикидываться, будто на машине все в порядке. Так, приклеившись к некой
программе и тем самым увеличив ее длину, они сообщают, что та не
изменилась. С такими "невидимками" Adinf справляется запросто - ему
достаточно сравнить сведения о файле, возвращаемые функциями DOS и BIOS:
если они не совпадают, будьте уверены: в файле что-то прячется, (Кстати,
борьба с вирусами-невидимками проста: как правило, для исцеления файла
достаточно переписать его под другим именем.) При атаке бутового вируса
ревизор восстанавливает содержимое оригинальных загрузочных секторов из
своих таблиц.
Лишь немногие вирусы (около 3%) являются "новым словом" в сложной
"вирусной науке". Среди остальных 97% встречаются как явные заимствования,
так и типовые произведения начинающих. Способы, которыми они заражают
файлы, известны всему миру, и у любой антивирусной программы есть
соответствующие противоядия. Гораздо более опасны вирусы-незнакомцы, но
Adinf умеет бороться и с ними. При наличии некоторой информации о файле,
которую он сохраняет в своих таблицах, его лечащий модуль способен
"выкусить" вирус из кода программы и вернуть ей первоначальный вид.
Разумеется, 100%-ной гарантии Adinf не дает. Действительно, при малейших
изменениях на диске, характерных для проявлений вирусов (изменение длины
исполняемых файлов, загрузочного сектора винчестера, нарушение контрольной
суммы файла и т.д.) Adinf тут же сообщает об этом пользователю и
предотвращает распространение вируса. Но этот ревизор, как и любая другая
программа, имеет свои недостатки, которыми пользуются вирмейкеры.
Резидентные вирусы могут обманывать его, изменяя информацию, которую он
хотел бы получить. Нерезиденту - сложнее. Только что-то заразишь, как тут
же Adinf сообщает: "На диске обнаружены изменения файлов, характерные для
проявления вирусов!" Будет гораздо лучше, рассудили их авторы, если ревизор
просто смолчит или предложит пересоздать таблицы.
С каждой версией Adinf в программу добавляется дополнительная их защита.
Но вирмейкеры нашли признаки, по которым их можно найти. А найдя, записать
поверх оригинальной таблицы какой-нибудь мусор. При следующем запуске
ревизор сообщит, что "таблицы созданы более поздней версией Adinfa" (или
констатирует "устаревший формат таблиц") и предложит пересоздать их. Причем
в испорченной таблице останется рамочка, заверяющая пользователя, что
таблица существует.
Эвристические анализаторы. Возвращаясь к фагам, обратим внимание на еще
один принципиально важный их недостаток. Существуют вирусы, перед которыми
фаги бессильны. Это так называемые полиморфные вирусы. Они обладают
способностью раз от разу изменять свой код таким образом, что в нем не
удается выделить фиксированные сигнатуры (неизменяемые участки, с помощью
которых программы-фаги идентифицируют вирусы). Для борьбы с такой инфекцией
применяются эвристические анализаторы, пытающиеся найти участки кода
программ, которые могут являться элементами шифровщиков или характерны для
полиморфных вирусов. В антивирусном комплекте АО "ДиалогНаука"
распространяется эвристический анализатор Dr.Web. Известный его недостаток
- долгое время работы и полное пренебрежение "презумпцией невиновности":
Dr.Web способен заподозрить во всех смертных грехах вполне мирные программы
и даже обычные текстовые файлы. Кстати, именно с программой Dr. Web связана
прямо-таки детективная история. Одно из дополнений к этому анализатору,
распространенное по каналам Интернет и других электронных сетей, оказалось
замаскированным вирусом (так называемый "троянский конь"). При попытке
произвести проверку на наличие инфекции зараженная программа уничтожала
данные на жестком диске. К слову сказать, автор этого дополнения был
найден. Его "вычислили" по почерку. Им оказался житель славного города
Санкт-Петербурга. Фамилию мы по известным причинам умалчиваем.
Пожалуй, Dr.Web - самая скандальная из всех антивирусных программ, но
одновременно и самая надежная. Это отмечают все, кто с ней имел дело, даже
мои собеседники-вирмейкеры (см. "ТМ", № 5): указав на массу ошибок,
"глюков" и недоработок, они все же отметили ее как достойного противника.
Сторожа. Время увлечения ими проходит. Сторож - резидентная программа,
контролирующая некоторые подозрительные действия, совершаемые в системе
(уровни контроля, как правило, настраиваются). Целесообразность
использования сторожей сомнительна. Если отключить большую часть проверок,
то велик риск чего-либо не заметить. Если же включить все, то сторож быстро
надоест постоянными предупреждениями, что тот-то и тот-то хочет сделать с
тем-то и тем-то нечто нехорошее. Некоторые BIOS тоже располагают
сторожевыми функциями, но они ограничиваются предохранением загрузочных
секторов, что, естественно, можно только приветствовать, ибо эти сектора
меняются редко, а от бутовых вирусов такие сторожа спасают. Правда,
некоторые программы перестают работать, если включена такая защита. Самой
известной из таких программ является ОС Windows 95, которая откажется
инсталлироваться на ваш компьютер при включенной защите. Именно поэтому в
среде программистов Windows 95 в шутку прозвали большим вирусом со
встроенной операционной системой. (Кстати, один из моих юных собеседников,
любитель записываться в MBR, сказал, что опция BIOS "Virus Warning",
являясь практически непреодолимой преградой для записи в загрузочный
сектор, редко бывает включенной, а если и включена, то своим вопросом
"Разрешить или запретить запись?", заданным, естественно, на английском,
приводит простых пользователей в шоковое состояние, и они, боясь перечить
компьютеру, выбирают "Yes" - единственное знакомое им слово. Потому, чтобы
лишний раз не нервировать пользователя, вирусы стараются перед записью
снять "Virus Warning", что делается довольно легко. Но самым изящным
вариантом считается чтение и запись секторов напрямую через порты, при
котором встроенный сторож просто не может ничего заметить. Таким образом,
ценность простых сторожей становится все более и более сомнительной.)
ВМЕСТО ЭПИЛОГА
Программисты не в состоянии создать алгоритм, который бы обеспечил
абсолютную защиту от вирусов. Более того, специалисты-вирусологи до сих пор
спорят, что же такое вирус. Однозначного определения не существует!
Пока вирусы атакуют только информацию и пытаются "грызть" аппаратуру.
Человек, сидящий за ПК, может пострадать только в том случае, если его
хватит удар из-за потери несохраненного проекта, уничтоженного компьютерным
злыднем. Но не наступит ли время, когда развитие техники и технологии
программирования превратит компьютер, эту верную лошадку прогресса, в
смертельное оружие? Не примем ли смерть от коня своего?
(c) ТЕХНИКА-МОЛОДЕЖИ N 6 /97
Информационные технологии
Человек - существо поневоле изобретательное. Ведь приходится не только
открывать новое, что всегда заманчиво, но и приспосабливать старое к новым
нуждам, что скучно, но необходимо. Когда локальные компьютерные сети
протянули свои щупальца за пределы вычислительных центров, встал вопрос,