Когда антивирус беспомощен…

 Технический прогресс как это ни странно все больше и больше базируется на вере. Мы можем с увлечением читать о квантовой механике или о радиоастрономии, но _проверить_ это уже не в состоянии. Остается только принять (или не принимать) прочитанное на веру.

И дело тут не только в том, что не у каждого есть доступ к радиотелескопу, а скорее в отсутствии необходимой подготовки. Понять ту или иную формулу доступно каждому, а вот проверить ее правильность едва ли. Слишком много связей между различными областями познания. Никакая наука не существует изолированно в "чистом" виде, и ни один человек не способен уместить в голове все достижения цивилизации.

Какой из этого выход? Разумеется разделение специализаций, с последующим обменом научными достижениями, принимая "на веру" достижения коллег. Может быть это немного утрировано, но все же недалеко от истины. Во всяком случае именно такая ситуация сложилась в антивирусной индустрии.

Грамотно пользоваться антивирусом может (и в идеале должен) каждый квалифицированный пользователь и системный администратор. Но при этом ни тот ни другой не обладают достаточной квалификацией что бы _проверить_ достоверность сообщений антивируса. Все что остается им делать - принять последнее на веру. Или использовать статистические подходы - скажем если из трех антивирусов два признали некоторый файл зараженным, то он действительно заражен, ну и соответственно наоборот.

Однако, последнее ничуть не лучше первого, если не сказать наоборот. В конечном счете вера основанная на статистике это все та же вера, которая не дает никаких гарантий, что разработчики антивирусов не ошиблись и учили все возможные ситуации и модификации вирусов. А учитывая скорость пополнения антивирусных баз данных и ничтожно малое время, отводимое специалистам на анализ новых "насекомых" можно без колебаний ожидать, что множество деталей окажутся не замеченными и антивирус будет работать не так как предполагается или вообще не будет работать.

Поэтому следует с большим недоверием относиться к сообщениям антивирусов. Если вирусов не найдено, то это следует понимать буквально - т.е. их и в самом деле просто не найдено,но это не намек что их и в _действительно_ нет. То же относится и к утверждениям о зараженности файлов. Достаточно часто случается, что антивирус находит вирус там, где нет и следа последнего.

Положение усугубляется ошибками разработчиков и пользователей. Очень часто антивирусами пользуются неправильно, чем и объясняется неудовлетворительный результат их работы. При этом руководства пользователя обычно содержат даже больше ошибок и упущений, чем сам продукт. К примеру рассмотрим рекомендацию запуска антивируса с "чистой" дискеты. Безусловно практически всегда так и следует поступать, потому что в противном случае трудно гарантировать,что антивирус корректно нейтрализует резидентную часть вируса. Несмотря на то, что современные антивирусы обычно это делают достаточно качественно, в некоторых случаях подобная процедура опускается или просто не срабатывает. Если это произойдет с вирусом, заражающим файлы при их открытии (закрытии), то после сканирования окажутся зараженными все проверяемые файлы. Особенно часто это происходит в новыми, не еще детектируемым вирусами, резидентную часть которых гарантированно ни обнаружить, ни нейтрализовать не представляется возможным. В общем случае можно утверждать, что детектирование\лечение вируса не должно выполняться при активной резидентной части вируса.

Но не спешите довериться этому объяснению и _всегда_ загружать свой компьютер перед проверкой с эталонной дискеты. Дело в том, что ряд вирусов для своего лечения требует информации, которую антивирус черпает именно из резидентной части. Например, если полиморфный вирус каким-то образом шифрует диск, то для восстановления последнего очевидно необходимо получить алгоритм расшифровки. Учитывая, что он меняется (может меняться) от одной модификации вируса к другой разработчики часто "заимствуют" его непосредственно из тела вируса. Учитывая, что на диске вирусы обычно зашифрованы, а в памяти нет, то логично, что большинство разработчиков берут необходимые данные именно из резидентного модуля. При этом часто не учитывается, что при загрузке с "чистой" дискеты подобное осуществить будет уже невозможно.

Хорошо если данная ситуация отражена в техническом руководстве, но чаще всего пользователь сталкивается с малоинформативным сообщением "вирус вылечить невозможно" или что еще хуже с порчей файлов при попытке лечения или даже всего диска целиком. Последнее хоть и редко, но все же случается.

Любопытно, что в данной ситуации очень трудно найти виноватого. Разработчики редко признают подобные ошибки, отсылая истца к составителям документации, а те в свою очередь сетуют на низкую квалификацию пользователей антивируса.

Действительно, как мы видим использование современных антивирусов дело не простое. Пользователь постоянно оказывается на распутье выбора решения, особенно после сообщений в стиле "по адресу 9876:0102 возможно находится резидентный вирус". Специалисту достаточно по указанному адресу взглянуть дизассемблером, но даже и без оного по приведенным цифрам он уже может многое сказать о резиденте. Так например, расположение в верхних областях нижней памяти уже указывает на нестандартный способ посадки резидентной копии, а смещение 0x102 свидетельствует о том, что резидент с большой вероятностью "вылез" из com-фала - 0x100 - на PSP и 2 байта на короткий переход на процедуру инициализации.

Разумеется, что все это доходчиво объяснить простому пользователю не затратив кучу времени и усилий просто невозможно. Какой из этого выход? Предоставить лечение вирусов специалистам? Фактически так оно и есть, но мало кто может себе позволить оплатить выезд сотрудника антивирусный фирмы, особенно если ценность обрабатываемых данных оказывается меньше или сравнимой с стоимостью подобного сервиса.

Многие все же предпочитают использовать антивирусны средства, что значительно дешевле, хотя и проигрывает в надежности. При этом разработчики последних разрываются между двух крайностей - предоставить пользователю по возможности исчерпывающую информацию о ситуации, а дальше действовать в зависимости от его решения (но знает ли пользователь что ответить?) или свести взаимодействие с последним к минимуму, реализуя полностью автоматическую диагностику и лечение.

Сегодня доминирует последняя тенденция. И даже некогда профессиональный "AVP PRO" сегодня уже лишен многих "вкусностей". Исчезла возможность ручного создания баз, в комплекте отсутствует утилита trsutil (интегрированный отладчик\дизассемблер, разработанный для поиска и нейтрализации вирусов). С одной стороны в этом есть свои несомненно положительные черты, но и вместе с возникшей простотой использования (многие пользователи просто не знали что делать с trsutil, а уже вид команд ассемблера и вовсе вызывал полное недоумение) падает качество продукта. Почему? Да потому что автомат. Автомат, который действует каждый раз по одному и тому же шаблону и оказывается бессильным даже в простых, но нестандартных ситуациях. И уже нет никакой возможности "пройтись" по векторам прерываний или хотя бы карте памяти.

При этом пользователь оказывается лишен возможности не только вмешиваться в процесс, но даже контролировать происходящее. Допустим, некий файл подозревается эвристическим анализатором на вирус. Что с ним сделать? Стереть? Но уничтожит ли это вирус и кроме того как быть если отсутствует резервная копия? А вдруг это всего лишь безобидное "ругательство" антивируса? Хорошо бы узнать причину его возникновения. В противном случае подобная информация просто лишена смысла и попросту бесполезна. Большинство пользователей чаще встречаются с ложными срабатываниями эвристических анализаторов, нежели с точными попаданиями и рано или поздно отключают эвристический анализатор (при этом попутно выигрывая и в скорости сканирования).