Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 138, ИЮНЬ 2010 г.

Интервью журнала Хакер: Игорь Здобнов

Чем Вы занимались до работы вирусным аналитиком?

Восемь лет назад я был студентом Санкт-Петербургского государственного университета аэрокосмического приборостроения.

В то время у меня, как и у всех студентов, были какие-то увлечения… К примеру, очень нравились шахматы, также увлекался испанским языком и учился программировать на ассемблере.

Имели ли Вы представление о вирусах и опыт реверсинга вирусов?

Где-то в начале 1997 года мне в руки попала книжка Питера Абеля «Ассемблер и программирование для IBM PC». Вот так и началось мое знакомство с ассемблером, дизассемблером, а также дебаггером!

Когда я только начинал работать вирусным аналитиком, то уже неплохо разбирался в архитектуре таких операционных систем как DOS, Win3.1, Win9x. Естественно, я знал и о вирусах под эти платформы.

Какой софт Вы используете в своей работе?

Не знаю, огорчу вас или обрадую – на самом деле ничего сверхъестественного мы не используем. Почти вся работа вирусного аналитика проходит в Far Manager (его представлять, думаю, не надо), а также в Hiew – это консольный hex-редактор с возможностями дизассемблера. У нас для него написаны плагины, позволяющие работать с вирусной базой.

IDA Pro + Hexrays – интерактивный дизассемблер и декомпилятор, ставший своего рода промышленным стандартом в reverse engineering. OllyDdbg – отладчик пользовательского режима для платформы WinNT.

Естественно, мы применяем и свои разработки. Одной из них является комплекс программ «Виртуальный аналитик». В него, например, входит система распознавания неизвестных вирусов на основе анализа граф передачи управления, позволяющая находить новые модификации вредоносных программ, используя базу знаний.

Какие конкретные источники получения тел вирусов используются в вашей компании, и какие пропорции между ними существуют? Если возможно, приведите какие-то количественные характеристики.

Входящий вирусный поток состоит из сэмплов, поступивших сразу из нескольких источников. Прежде всего, из нашей службы технической поддержки, в которую обращаются наши пользователи в случае столкновения с угрозой, которая еще не известна Dr.Web.

Также мы получаем образцы вредоносных программ для анализа и последующего добавления в наши вирусные базы от компаний, использующих наши технологии обнаружения. В частности, как известно, ядро Dr.Web используется в корейском антивирусе Virus Chaser.

Нельзя забывать и про онлайн-сканеры, примеры которых вам наверняка известны (virustotal.com/jotti.org/virscan.org и т.д.), а также регулярный обмен сэмплами между вендорами из самых разных стран.

Наконец, honeypots – так называемые системные ловушки или приманки, на которые в случае удачи и высокого фактора достоверности попадется злоумышленник.

Это основные источники поступления к нам образцов вредоносных программ. Пропорции я указывать не буду – пусть это останется тайной.

Опишите стандартный рабочий день вирусного аналитика: типовые процессы и действия, структуру работы.

Стандартный вирусный аналитик… Надо понимать, что вирусная лаборатория – это не цех по изготовлению гаек… Производимый ею продукт несколько сложнее, так что расшифровка термина «стандартный рабочий день» будет сильно зависеть от группы людей, которая отвечает за ту или иную часть конечного продукта.

Если говорить об обработке входящего потока,стандартный процесс начинается с обращения пользователя. Его заявка регистрируется в трекере запросов. Если была выбрана категория «подозрение на вирус», то присланный сэмпл (один или сразу несколько) проходит стадию предварительного автоматического анализа. Это происходит при условии, что на этом этапе система не смогла автоматически добавить объект в базу, и он уходит на так называемую «ручную обработку».

Далее решение принимается уже вирусным аналитиком. И, естественно, от него зависит очень многое. Результатом всего этого становится тот факт, что заявка пользователя закрывается, и он получает автоматический ответ на свой запрос.

Есть и то, что не зависит от работы простого вирусного аналитика. Речь, прежде всего, о системе выпуска ежедневных баз. Она отвечает за сборку, дополнение и тестирование на коллекции «чистых» файлов. В случае возникновения ложного срабатывания система исключает из базы соответствующие записи и выкладывает дополнение на мастер-зоны обновлений. Это самый «стандартный процесс» в работе вируслаба.

Какой вирус за последнее время понравился и запомнился больше всего?В чем была его основная фишка и особенность?

По нашей классификации он называется Linux.Hasher. Это файловый вирус, работающий на Linux-платформе, который заражает исполняемые файлы ELF-формата. Кроме саморепликации больше ничем и не занимается.

Интересен он, прежде всего, процедурой заражения. Вирус использует довольно хитроумный прием с секцией .hash, которая необходима загрузчику ELF для ускорения доступа к таблице символов. Linux.Hasher модифицирует заголовок таким образом, что загрузчик больше не использует быстрый доступ к символам. Это позволяет записать в секцию код размером всего 219 байт.

Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001