защищенная ось без антивирусов и тормозов

крис касперски ака nezumi aka souriz aka elraton aka laoshu aka толстый нутряк



некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без кучи защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. самый лучший антивирус - это сама ось! нужно только научиться правильно ею пользоваться!

введение

Windows NT (и все производные от нее системы - W2K, XP, и частично Longhorn) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, прежде чем продолжить повествование, необходимо уточить ряд определений.



терминологические войны

Условимся называть вирусами саморазмножающийся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS. Сеть тогда только зарождалась и единственным средством добычи свежих программ были дискеты товарища, отдельные счастливчики имели доступ к FIDO и BBS. Все это создавало крайне напряженную обстановку с эпидемиологической точки зрения. Копировать программы друг у друга - все равно что ширяться из одного шприца. Немногие помнят то светлое время, когда вирусов было всего семь, а антивирус годичной давности считался вполне свежим и актуальным. Фактически, основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.

С появлением Сети, пользователи перешли на централизованную скачку дистрибутивов с официальных серверов, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно необязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь, ведя кочевой образ жизни. Такие вирусы принято называть червями и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.

Еще существуют "психологические" вирусы, представляющие обыкновенные исполняемые файлы и распространяющийся через вложения электронной почты, ICQ, в меньшей степени web и ftp. Свою историю они ведут от "крякеров Интернета", завлекающих бесплатным доступом в Сеть, а на самом деле форматирующим жесткий диск. Этот подкласс заразы назвали Троянскими Конями. Сейчас же времена первобытного варварства остались позади и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливает шпионскую закладку, похищающую пароли, содержимое электронных кошельков или позволяющую управлять компьютером по сети - такие компьютеры называются зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей, например, рассылать спам.



антивирусы - за гранью возможного

Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлами средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скаченной их Сети. Но автономный сканер - это еще туда-сюда. Лично я примерно раз в год скачиваю демонстрационную версию какого-нибудь антивируса и проверяю свое хозяйство на предмет: "а вдруг?" Впрочем, до сих пор все было чисто и никаких "авдругов" со мной не случалось.

Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами, и проверяющий их "на лету" это дополнительные тормоза (под час _очень_ значительные), конфликты, критические ошибки, голубые экраны смерти и прочий ничем неоправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности, никакой гарантии, что вся зараза будет распознана, у нас нет. Больше того! Вирус, упакованный слегка подправленной версий крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП (так же называемом виртуальной машиной) и для их снятия требуется статических распаковщик, входящий в "движок" антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2) и антивирус идет лесом, поскольку переменная длинна x86 инструкций не позволяет ему определить начало следующей машинной команды!