أساطير هندسة الفيروسات: بداية الحرب

كانت نهاية الثمانينيات وقتًا رائعًا لدولة السوفييت. ينتشر السخط المتراكم والمتزايد إلى "البريسترويكا" الوغد. على شاشة التلفزيون ، الانسحاب المخزي للقوات السوفيتية من أفغانستان ، في المتاجر - أرفف فارغة وبطاقات بقالة. صوت "نجمة تسمى الشمس" و "أريد تغييرًا" من كل مكواة. في هذه الأثناء ، في أحشاء GVC Gosplan من اتحاد الجمهوريات الاشتراكية السوفياتية ، يكتشف ديمتري ن.لوزينسكي على أحد أجهزة الكمبيوتر سبب سلوكها غير المعتاد ، والذي تبين أنه برنامج غير عادي. تمت كتابة أداة التحييد في ليلة واحدة وسميت باسم نظام اختبار الإيدز ، الذي في نفس الوقت الذي أحبوا ذكره في الراديو باعتباره إنجازًا رائعًا في الطب.

كان الفيروس برنامجًا بسيطًا لم يخضع رمزه لأي معالجة إضافية وتم اكتشافه بسهولة باستخدام برامج متخصصة. في ذلك الوقت ، لم يكن هناك حتى الآن نظام واحد لتسمية البرامج الضارة. ومع ذلك ، في هذا الصدد ، لم يتغير شيء تقريبًا اليوم ، ولا يمكن لشركات مكافحة الفيروسات الاتفاق فيما بينها ، ويمكن تسمية نفس "الفيروس" بشكل مختلف في حزم مكافحة الفيروسات المختلفة. تم تسمية "Vienna.648" على اسم مكان الاكتشاف الأولي والحجم - 648 بايت.

في نفس الوقت تقريبًا ، كان أول من اكتشف الفيروس فرانز سفوبودا ورالف بيرغر ، على الرغم من أنه من غير المعروف على وجه التحديد أيهما قام بذلك أولاً ، حيث قال كل منهما أنه تلقى الفيروس من الآخر. كان البرنامج سيظل مشهورًا بظهوره الأول في اتحاد الجمهوريات الاشتراكية السوفياتية وأكثر من ذلك. لكن رالف بيرغر ، بعد أن نشر رمز المصدر في كتابه (ISBN 1557550433) ، فتح النعش من باندورا. يمكن لأي مبرمج تغيير التعليمات البرمجية المصدر لإنشاء برنامج مماثل على أساسه. ضرب سيل من "الشوك" عالم السيارات. في بعض الأحيان التقى بينهم "الأوغاد" المترددين مثل Ghostballs و Chameleon. لا يزال بعض أحفاد هذا الفيروس موجودين في الموطن "الطبيعي" (على مر السنين ، قام المبرمجون المبتدئون وأطفال المدارس بأكثر من 60 نوعًا مختلفًا من هذه العدوى ، وعلى الأرجح يمكن ضرب هذا العدد بسهولة في 10 ، وأنا لست متأكدًا من أن هذا كله).

"Vienna.648" هو فيروس نموذجي غير مقيم للملفات ، بعد اكتساب السيطرة عليه ، يصيب الملفات ، في معظم الأحيان في وقت إطلاق الوسيط المصاب. خاصية مميزة لغير المقيمين هي دورة حياتهم القصيرة ، بما في ذلك إطلاق ضحاياهم وبحثهم وإصابتهم. هناك العديد من الخوارزميات الشائعة لغير المقيمين للبحث عن الضحايا المحتملين. مثل العديد من الفيروسات القديمة الأخرى ، تمت كتابته بلغة التجميع وملفات COM القابلة للتنفيذ المتأثرة (عادةً ما تكون برامج COM تطبيقات صغيرة أو أدوات مساعدة للنظام أو برامج مقيمة صغيرة).

كان "بطل" اليوم هو أول من استخدم أسلوب البحث "المسار" ، وهو خوارزمية بحث فعالة نوعًا ما ، وهو نوع من "المعرفة الفنية" التي لا تتطلب زحفًا كاملاً لجميع دلائل الأقراص. قدم MS-DOS آلية لإنشاء قائمة بأدلة محددة مسبقًا ، يتم تحديدها غالبًا في ملف دفعات النظام AUTOEXEC.BAT. تقع هذه القوائم في بيئة النظام وأصبحت متاحة لجميع البرامج. تحتوي الدلائل الموجودة في سطر PATH دائمًا على ملفات قابلة للتنفيذ. بعد أن بدأ الفيروس ووجد السطر الذي يبدأ بـ "المسار" ، فصل الفيروس الدلائل بالرمز "؛" وأضاف قناع بحث لملفات COM ، وبعد ذلك حدث انتقال العدوى والتحكم.

نُسب الفيروس إلى نهاية ملف برنامج COM ، وفي البداية دخل الأمر التجميع للتبديل إلى جسمه ، في حين أن إضافة رمز الفيروس إلى نهاية البرنامج جعل من المستحيل استخدام العنونة المباشرة لخلايا الذاكرة ، حيث تغيرت الروابط المباشرة ، وبالتالي كان من الضروري التعقيد الخوارزميات باستخدام العنونة غير المباشرة مع الإزاحة. تطلب هذا التعقيد إدخال رمز إضافي يحسب العنونة. كان وجود مثل هذا الرمز علامة توقيع مهمة على إصابة البرنامج.

نظرًا لبساطة البرنامج ومجهولية منشئه حتى يومنا هذا ، يمكننا أن نفترض أن إنشائه "انهيار للقلم" ، أو كتجربة خرجت عن نطاق السيطرة قليلاً. مثل هذه البساطة الواضحة مع التوقيعات التي يمكن اكتشافها بسهولة تتحدث لصالح هذه الفرضية ، لكنها لا تثبت ذلك بشكل قاطع. على الرغم من التفاهة الظاهرة ، لا ينبغي للمرء أن ينسى أن "فيينا 648" كان أيضًا أول فيروس يتم اكتشافه وتدميره بواسطة برنامج مكافحة الفيروسات.

هناك نسخة مفادها أن مؤلف البرنامج هو برجر ، على الرغم من أنه نفى أي تورط في ذلك. على أي حال ، هو الذي أطلق البندول للحرب الرقمية الجديدة . وهكذا بدأت مواجهة الفيروسات وبرامج مكافحة الفيروسات ...