| Заметки на полях "Компьютерной вирусологии" |
[Dec. 17th, 2006|03:22 pm] |
| [ | Current Mood |
| |  okay | ] |
Не смотря на то, что эта книжка издана чертовски давно, "факты" приведенные в ней, воспроизводятся в прочих источниках, с упорством, способным вызвать зависть любого вируса. Попытаюсь перечислить допущенные ошибки и неточности. Пост (возможно) будет обновляться.
Приблизительно в 1970 г. была создана саморазмножающаяся программа для одной из первых компьютерных сетей -- APRAnet ...
Хорошо, конечно, что Безруков вслед за Дьюдни не стал говорить "о растущей инфекции в ARPANet", но тем не менее описание оставляет желать. CREEPER - это самоперемещающаюся программа, запустившись на новом хосте, копия на старом хосте прекращала работу. Это была демонстрационная программа для RSEXEC (подсистема Tenex для удаленной работы, разработанная автором "червя").
В 1974 г. была написана программа Rabbit (Кролик), которая размножалась на трех соединенных между собой машинах IBM, причем появление новых подзадач вызывало замедление реакции, а затем и полное зависание машин.
The Risks Digest 6/53:
Bill Kennedy 29 Mar 88 19:41:16 CST (Tue)
Someone asked for a virus dated prior to 1984. Back in 1974 I was working at a
large firm with no fewer than three 360's lashed together and a bright young
fellow wrote a program named "rabbit". When rabbit was submitted it had foundb
a way of taking a copy of itself and tossing it back, twice, into the ASP input
jobstream. One of ASP's famous qualities was how it got stingier and stingier
about talking to its console when it began to get constipated. Needless to
say, rabbit constipated it so it was harder to kill the longer it ran. The
bright young fellow was (justifiably) discharged.
Билл умер в 2003 (?), так что выяснить, что же там произошло на самом деле и
не был ли это просто глюк (а это не исключено, так как многие байки
из RD зачастую являются просто слухами) врядли представляется возможным.
В 1980 г. появилась первая и весьма примечательная европейская публикация по компьютерным вирусам -- "Самовоспроизводящиеся программы" Й.Крауса. Ее автор -- сотрудник кафедры информатики Дортмундского университета -- не только дал достаточно точное определение компьютерных вирусов, но и привел в своей работе листинги компьютерных вирусов (на языке ассемблера фирмы Siemens -- клона известной системы 360 фирмы IBM). К сожалению, данная публикация представляла собой препринт Дортмундского университета и широкого распространения не получила. По мнению Р.Бургера, автора первой книги по компьютерным вирусам [Burger88], уровень этой работы существенно превосходит уровень исследований Ф.Коэна (см. ниже), поэтому обидно, что она практически забыта и не цитируется в современных исследованиях по компьютерным вирусам.
Юрген Краус. Не сотрудник, а выпускник. Не препринт, а дипломная работа. Обидно конечно, что об этой работе забыли (а вы попробуйте убедить кого-нибудь из архива университета отксерить диплом двадцатилетней давности и переслать oversea). Не вирусов, а самовоспроизводящихся программ, вот к примеру:
PROG1 START
BALR 1,00
LA 2,2(0,0)
SR 1,2
LM 4,8,0(1)
STM 4,8,64(1)
SVC X'5B'
END
Да, Краусу пришла в голову мысль, что у данного класса программ есть определенное сходство с вирусами, но, отдавая ему должное в теории (пожожие работы появились гораздо позже), на практике, он так и не смог сделать последний шаг, то есть сделать так, чтобы программа запускалась "самостоятельно":
7.4. Selbstreproduzierende Programme und Viren
...
Es bleibt jedoch bei aller ähnlichkeit zu beachten, daß ein Virus aktiv seine Reproduktion einleitet, indem es in das Baustoff und Energie liefernde System "Zelle" eindringt. Das kann ein selbstreproduzierendes Programm nicht, auch wenn es sich im Speicherplatz und Energie liefernden System "Rechner" befindet. Es bleibt auf Aktivierung durch das Betriebssystem angewiesen.
Любопытно, а как об этой работе узнал Бургер?
В октябре 1980 г. в сети APRAnet была обнаружена программа, по некоторым описаниям вызывавшая "перепутывание" адресов посылаемых по сети сообщений, что вызывало появление множества сообщений "неверный статус пользователя". В результате систему пришлось выключить, и она была восстановлена только через три дня.
Наиболее вероятный источник (я не нашел упоминаний о других сбоях в ARPANet в этот период) - The Risks Digest 9/61. 27 октября 1980 года сеть лежала в течение четырех часов, из-за неисправного IMP'а, который рассылал ошибочные routing updates. Подробности в RFC 789.Так, вирус, реализованный по опубликованному описанию Р.Скрентой-младшим из Питсбурга (США), быстро
распространился по дискетам его знакомых и преподавателей.
Явный анахронизм. Вирусы Деллинджера и Скренты были написаны в конце 1980 начале 1981 года, так что публикация в SciAm (1985) никак не могла повлиять на ситуацию. btw,
ходили слухи, что в TAMU был разработан вирус в 1980... Но слухи - они и есть слухи.В сентябре 1984 г. была опубликована статья Ф.Коэна... Работа содержала полезное, хотя и недостаточно
строгое формальное определение вируса
Формальное определение содержала работа: Fred Cohen "Computational Aspects of
Computer Viruses". Из-за этой путаницы мы и имеем "формальное" определение, в котором говорится о такой загадочной вещи,
как "видоизмененная копия"В том же 1985 г. Том Нельф (Tom Nelf) начал распространять по различным BBS список "Грязная дюжина --
список опасных загружаемых программ" ("The Dirty Dosen -- An Unloaded Program Alert List"),...
Tom Neff, THE DIRTY DOZEN A List of Ripped-Off
"Freeware" |
|
|
