НЕФОРМАЛЬНАЯ РЕЦЕНЗИЯ
на книжку, подписанную И.А. Гульевым
и выпущенную издательством ДМК (Москва)
под названием "Компьютерные вирусы. Взгляд изнутри"
- 1 -
Милостивые государи!
Лежит передо мной эта книжка - лакированная, крупноформатная,
яркая, внешне ничем не отличающаяся от других таких же, стоящих на моей
полке.
Давным-давно, лет 8 назад, некто П.Л. Хижняк уже пытался донести
вирусные идеи до народных масс, выпустив в Москве немалым тиражом свой
опус, озаглавленный "Пишем вирус и антивирус". Что из этого получилось
- знают все. Кирпичиками, из которых сложено виртуальное надгробие
Хижняка, давно и по праву считаются сонмы созданных "по образу и
подобию" вирусов семейства Khizhnyak.
Справедливости ради следует упомянуть, что П.Л. Хижняк текст своей
книжки и все примеры из нее все-таки писал и разрабатывал
самостоятельно. И.А. Гульев пошел другим путем. Пошелестим же
страницами его новоизданного "труда".
- 2 -
Прежде всего бросается в глаза, что в тексте книжки очень много
исходных текстов вирусных программ и их фрагментов. Причем все тексты
тщательно откомментированы. Также приведен справочный материал -
форматы заголовков EXE-, NE- и PE-файлов, формальные описания
алгоритмов инфицирования DOS- и Windows-программ, списки DOS-функций и
пр.
Среди вирусов очень много знакомцев, исходные тексты которых ранее
были опубликованы в различных выпусках электронных журналов Infected
Voice и Infected Moscow. Авторы из указанных журналов напрямую
цитируются сравнительно редко ввиду обилия на электронных страницах
соответствующих журналов ненормативной лексики. J Зато cледует
отметить "титанический труд" И.Гульева, "творчески переработавшего"
оригинальные авторские комментарии.
Пример 1
+------------------------------------------------------------+
| Оригинальный текст by LovinGod (IV3, файл IV_3.003) |
|------------------------------------------------------------|
| |
|ReadHeader: ; читаем заголовок файла |
|;... ; достаточно 18h байт |
| mov ah,3Fh |
| mov dx,offset EXEHeader |
| mov cx,0018h |
| int 21h |
| |
|------------------------------------------------------------|
| Текст из книжки И.Гульева (стр. 47) |
|------------------------------------------------------------|
|; Читаем заголовок EXE-файла (точнее, только первые 18h |
|; байт, которых вполне достаточно) |
|ReadHeader: |
| |
| mov ah,3Fh |
| mov dx,offset EXEHeader |
| mov cx,0018h |
| int 21h |
| |
+------------------------------------------------------------+
Также в книжке воспроизведены исходные тексты HLLP-вирусов,
написанных Dirty Nazi и опубликованных в том же Infected Voice, причем
нескольких сразу. Вероятно, Паскаль - любимый язык И. Гульева.
Также автор книжки продемонстрировал знание иностранных языков. Об
этом свидетельствует перевод на русский язык комментариев из исходного
текста вируса Bizatch.
Особого внимания заслуживает глава "Методы борьбы с вирусами" (стр.
149 - 180). Следует признать, что к содержимому этого фрагмента книжки
у меня слегка предвзятое отношение. Прежде всего потому, что настоящим
автором этого фрагмента являюсь лично я. Вся данная глава является не
"творческой переработкой", но прямым цитированием моей большой статьи
"Как пымать выря за хвост", размещенной в Интернет на антивирусном
сайте Александра Гостева (http://virus.komi.ru/howcat) летом 1997 г.
Пример 2
+------------------------------------------------------------+
| Оригинальный текст |
+------------------------------------------------------------+
| Как правило, специалист, обладающий некоторым опытом и|
|владеющий соответствующим программным инструментарием, спо-|
|собен справиться с этой задачей без особых затруднений. Поэ-|
|тому наибольший интерес вызывает ситуация, когда действовать|
|приходится в "полевых" условиях, например, на чужой машине,|
|"распиленной" и "обутой" под бухгалтера. |
| Примем следующую вводную, соответствующую достаточно|
|часто встречающейся ситуации: |
| Стандартная PC (286,386...Pentium), как минимум 1 Мб|
|ОЗУ, как минимум 40 Мб HDD; наличие принтера, звуковой кар-|
|ты, CDD и прочей периферии возможно, но в большинстве случа-|
|ев - не актуально... |
| Примем еще одно допущение: наличие заведомо чистой "зак-|
|леенной" загрузочной дискеты, содержащей (хотя бы в|
|урезанном виде) вышеупомянутый комплект программ. |
| Подозрение на вирус, как правило, возникает, когда|
|компьютер ведет себя "не так", как ему полагалось бы вести|
|по мнению хозяина. Например, программы, которые раньше рабо-|
|тали правильно, начинают глючить и вообще перестают запус-|
|каться, компьютер периодически виснет, экран и динамик восп-|
|роизводят необычные видео- и аудиоэффекты... |
+------------------------------------------------------------+
| Фрагмент книжки И.Гульева (стр. 152) | |
+------------------------------------------------------------+
| Как правило, человек, обладающий некоторым опытом и |
|владеющий соответствующим программным инструментарием,|
|справляется с этом задачей без особых затруднений. |
|Наиболее сложная ситуация - когда действовать приходится в |
|"полевых" условиях, например на чужой машине. Типичный |
|вариант: стандартная ЗС (286, 386... Pentium), как минимум |
|1 Мбайт ОЗУ, как минимум 400 Мбайт HDD; возможно наличие |
|принтера, звуковой карты, CDD и прочей периферии... |
| Итак, по мнению хозяина компьютер ведет себя странно.|
|Например, программы, которые раньше работали правильно,|
|начинают сбоить, вообще перестают запускаться, компьютер|
|периодически "виснет", экран и динамик воспроизводят|
|необычные видео- и аудиоэффекты... |
+------------------------------------------------------------+
Кроме того, моему электронному перу принадлежит и раздел "Обход
резидентных антивирусных мониторов" (стр. 119-134). И.Гульев дословно
воспроизводит мою статью "Обход резидентных антивирусных мониторов
прямым обращением к DOS", опубликованную в электронном журнале MoonBug
весной 1998 г. под псевдонимом DrMad.
Далее, раздел "Эвристические анализаторы кода" дословно
воспроизводит статью В. Колесникова, опубликованную в электронном
журнале Земский Фершал.
К сожалению, мне не встречались в Интернете статьи, послужившие
прототипами глав "BBS и FTN-сети" и "Хакерские штучки, или как они это
делают". Но стилевые особенности текста этих глав позволяют склониться
к мысли, что и к их авторству И. Гульев имеет весьма отдаленное
отношение.
Итак, что же И.Гульев сделал самостоятельно? Посчитаем: 1) слегка
модифицировал комментарии вирусных текстов; 2) дописал по нескольку
обзацев в начале каждой главы, дабы обеспечить логическое единство
текста книжки; 3) внес мелкие косметические коррективы в чужие тексты -
исправил ошибки/опечатки, переставил местами некоторые слова, сократил
некоторые абзацы; 4)... и все? Да !!!
- 3 -
Что же в конечном итоге у И.Гульева получилось?
Во-первых, вызывают некоторые подозрения юридические аспекты,
сопутствующие изданию данной книжки. В УК РФ существует статья 273,
предусматривающая уголовное преследование лиц, занимающихся созданием и
распространением заведомо вредоносных программ. Считать вирусы заведомо
вредоносными программами или нет - вопрос отдельный. (Лично я таки
считаю, что - не следует считать). Но все-таки в большинстве случает
авторы и распространители вирусов стараются остаться анонимными и
публикуются в своих электронных журналах под псевдонимами. Да и ищут и
читают эти журналы примущественно "свои люди" - авторы вирусов и
антивирусов, а также специалисты в области системного программирования.
А вот отважный И.Гульев не побоялся под крылышком издательства
"ДМК" тиражом 5000 экземпляров открыто распространять вирусы со страниц
печатного издания. И не только вирусы, что было бы простительно. Но и -
алгоритмы записи вирусного кода в Flash-BIOS персональных компьютеров
!!! Это ли не пропаганда и распространение вредоносных программ ?!
"Безумству храбрых поем мы песню"? Ню-ню...
Во-вторых, вызывает огромное сомнение информационная ценность
рецензируемого издания. Говоря простым языком - И.Гульев скомпоновал из
чужих текстов полный бред.
Пример 3.
+------------------------------------------------------------+
| Фрагмент книжки И. Гульева (стр. 163) |
+------------------------------------------------------------+
| В данном случае для изучения кода зараженных приманок |
| использовался дизассемблер Sourcer v5.04... |
| ... пользоваться программой удобно - упакованная PkLite, |
| она занимает всего 48КБайт. |
+------------------------------------------------------------+
Что такое? Все ли в порядке у меня со зрением? Слова вроде
знакомые, даже - мои, но смысл... слегка неадекватен. Sourcer v5.04 на
самом деле занимает на диске около 0.5 Мб. Ах, вот оно в чем дело!
Оказывается, я в своей статье, рассказывая про дизассемблер Sourcer,
пропагандировал последние версии данного программного продукта. А
заодно отметил, что и ранние версии тоже весьма неплохи и удобны,
например версия 1.72, которая действительно занимает всего 48 Кб.
Бедняга Гульев не понял, о чем шла речь, и "подкорректировал" текст на
свой манер. Чтож, этот абзац я ему от чистого сердца дарю. Кушай,
деточка, на здоровьичко! Носи - не стаптывай! J
Еще пример - раздел "Эвристические анализаторы кода". Он в
действительности был написан Валентином Колесниковым и представляет
собой очень сжатое изложение в алгоритмической форме его взглядов на
создание антивирусных эвристических анализаторов, причем взгляды эти
складывались в течение нескольких лет в процессе написания полифага
MultiScan. Это большая и очень сложная тема, заслуживающая отдельной
книги... по крайней мере объяснения, что же это все-таки такое -
эвристический анализ программного кода. Чего ради в середину книги безо
всяких объяснений вставлен вырванный из контекста и весьма сложный для
понимания фрагмент - непонятно. Наверное, И.Гульева привлек заголовок
статьи; так годовалый младенец с упоением следит глазенками за яркими
движущимися предметами и тянет в рот все, что ни попадя. Лапонька, этот
орешек не по твоим зубкам, не подавись!
И таких "добавлений", "улучшений" и "исправлений" - полная книжка,
фактически - на каждой странице!
Наконец, если уж совсем честно и откровенно, большая часть
уворованного И.Гульевым просто не заслуживает печатного опубликования.
Не знаю, как насчет сетевых дел (увы, не специалист), но антивирусные
разделы - любительщина. Есть настоящие специалисты, работающие на
антивирусном фронте больше десяти лет, и вот их выстраданное, серьезное
и взвешенное мнение, их материалы и разработки я бы с удовольствием
увидел бы на страницах какой-нибудь публикации. А подписанное
И.Гульевым "творение" - всего лишь конгломерат чужих предвзятых мнений,
ошибок, неточностей и просто глупостей. Не говоря уж о том, что
большинство опубликованных "полезных советов" устарели года эдак на три
-четыре. Уж я-то знаю!
- 4 -
Итак, что же мы в итоге имеем? Некто Игорь Гульев скачал с
различных WWW-сайтов несколько материалов на "популярную"
вирусно-антивирусно-хакерскую тему. Это были материалы различного
характера - от исходных текстов некоторых вирусов и советов по
хакерскому взлому сетевых защит до описаний весьма сложных антивирусных
алгоритмов (имеется в виду прежде всего статья В. Колесникова).
Далее, внеся мелкие косметические "исправления" в чужие тексты и
дописав короткие объединяющие вставки, И.Гульев скомпоновал тексты
вместе и предложил московскому издательству "ДМК". Судя по мелким
признакам это произошло не раньше весны и не позже начала осени 1998 г.
Справедливости ради следует отметить, что И.Гульев все-таки не
забыл упомянуть подлинных авторов подписанного им опуса. В конце книжки
читаем:
+------------------------------------------------------------+
| АВТОР ВЫРАЖАЕТ ОСОБУЮ БЛАГОДАРНОСТЬ ГРУППЕ SGWW (STEALTH|
|GROUP WORLD WIDE), В ЧАСТНОСТИ, LOVINGOD, ETHERNAL MAVERICK,|
|DARK AVENGER, DIRTY NAZI, REMINDER ЗА ПРЕДОСТАВЛЕННЫЕ МАТЕ-|
|РИАЛЫ. |
| ... |
| |
| ТАКЖЕ АВТОР ВЫРАЖАЕТ БЛАГОДАРНОСТЬ КОНСТАНТИНУ КЛИМЕНТЬ-|
|ЕВУ, ПРЕДОСТАВИВШЕМУ МАТЕРИАЛЫ ПО АНТИВИРУСАМ ИЗ СЕТИ ИНТЕР-|
|НЕТ. |
| ... |
+------------------------------------------------------------+
Московское издательство "ДМК" опубликовало данный материал
тиражом 5000 экземпляров. На форзаце книжки можно прочитать:
+------------------------------------------------------------+
| ВСЕ ПРАВА ЗАЩИЩЕНЫ. ЛЮБАЯ ЧАСТЬ ЭТОЙ КНИГИ НЕ МОЖЕТ БЫТЬ|
|ВОСПРОИЗВЕДЕНА В КАКОЙ БЫ ТО НИ БЫЛО ФОРМЕ И КАКИМИ БЫ ТО НИ|
|БЫЛО СРЕДСТВАМИ БЕЗ ПИСЬМЕННОГО РАЗРЕШЕНИЯ ВЛАДЕЛЬЦЕВ АВ-|
|ТОРСКИХ ПРАВ. |
+------------------------------------------------------------+
Наконец, выходные данные:
+------------------------------------------------------------+
|Гульев И.А. Компьютерные вирусы, взгляд изнутри / Игорь |
|Гульев - М.: ДМК, 1998 - 304 с. |
+------------------------------------------------------------+
+------------------------------------------------------------+
| |
| Гульев И.А. |
| |
| Компьютерные вирусы, взгляд изнутри |
| |
| Главный редактор Захаров И.М. |
| Научный редактор Шалаев Н.В. |
| Литературный редактор Клубничкина Ю.С. |
| Технический редактор Волнов Ю.А. |
| Корректор Вирязова О.О. |
| Дизайн обложки Кудряшов А.В. |
| |
| ЛР N065625 от 15.01.98 |
| |
| Подписано в печать 17.11.98 |
| Тираж 5000. Зак. N1436 |
| |
+------------------------------------------------------------+
+------------------------------------------------------------+
| E-mail: bboks@dmk.ru |
| Web: http://www.dmk.ru |
| Тел.: (095) 264-7536 |
+------------------------------------------------------------+
- 5 -
Как ко всему этому относиться?
Во-первых, оценим юридические аспекты. Несмотря на то, что
существует мнение, будто бы публикация в Интернете рассматривается на
равных правах со всеми другими видами публикаций, соответствующие
законы мне неизвестны (вероятно, их и нет в природе). Был бы очень
признателен, если бы кто-нибудь достоверно просветил меня на этот счет.
Пока же достоверной информации нет, будем считать, что И.Гульев и
издательство "ДМК" фактом издания книги застолбили свои права на текст
и пока имеют полные юридические права "ташшить и не пушшать".
Авторские права можно оспорить в судебном порядке. Вообще,
формально доказать свое авторство очень просто. Слишком уж своеобразны
стилевые особенности текста, проникнутые индивидуальным отношением
подлинных авторов к содержимому, слишком уж насыщены многочисленными
ссылками и намеками, понятными лишь очень узкому кругу лиц. Да и
свидетелей того, как и кем в действительности создавались эти тексты -
предостаточно.
Другой вопрос - стоит ли выделки овчинка? Тираж книги - 5000
экземпляров, книги аналогичного формата в Самаре идут по 30-50 руб., но
это с учетом накруток многочисленных посредников. Думаю, московская
выходная цена была в пределах 10-20 руб. Умножаем 5000 на 20, получаем
100000 руб. Бумага нынче стоит дорого, полиграфия тоже... короче,
издательство (фамилии см. выше) и И. Гульев конечно заработали, но не
так уж и много, - врядли больше нескольких тысяч долларов. А жизнь в
Москве дорогая...
Да, я считаю, что шансы истца выиграть дело - очень высоки. Но на
пути к победе придется потратить массу денег, потерять массу нервных
клеток... которых и так не больше 14 Гб. J Короче, или требовать с
плагиаторов за моральный ущерб по Гамбургскому счету или не пачкаться
вообще. Дерьмо, как правило, имеет свойство сильно пахнуть и плохо
отстирываться.
Во-вторых, задержимся на моральных аспектах. Конечно, я полностью
сознавал, на что иду, публикуя в Интернете свои материалы. Бери, кто
хочешь! Если принесет пользу - скажи мне спасибо, я за тебя порадуюсь.
Захочешь использовать в своих публикациях - напиши мне, попроси
разрешения и сошлись на меня в соответствующем месте. Я же добрый, не
откажу - нормальные человеческие отношения.
И не так уж мне этих материалов жалко. Я ведь знаю и умею гораздо
больше, чем опубликовал. И всегда сумею написать еще, и больше, и
лучше. А если ты бездарь, как например г-н Гульев, так спроси
разрешения и пользуйся на здоровьице.
Но то, каким именно образом все это было проделано, принесло мне
немало неприятных минут. Да, формально моя фамилия в книжке упомянута,
но... Не приходилось ли вам встречать таких вот людей - в автобусной
толкотне они сильно наступают тебе на ногу и больно суют локтем в
печенку. Правда, сразу же вслед за этим вежливо извиняются: прости,
мол, друг. Да ладно, чего там, отвечаешь ты. Сразу вслед за этим безо
всяких угрызений совести тебе еще раз наступают на ногу и выталкивают
чугунной жопой с твоего места. А в чем, собственно, дело? Я же принял
его извинения - значит предоставил полную свободу действий. Если надо,
он еще раз извинится. И еще раз. И еще...
Так вот, богатый автобусный опыт подсказывает мне, что совсем
прощать таких людей- воинствующих хамов- все-таки нельзя. А то на шею
сядут.
- 6 -
Я не знаю, "предоставляли" ли члены SG свои материалы лично г-ну
Гульеву, и как они вообще к этой книжке относятся. Может быть, автор
книжки - один из них. Но то, что я эту фамилию (или псевдоним) услышал
в первый раз пару недель назад - факт.
Если даже LovinGood и иже с ним действительно не имели с Гульевым
никаких предварительных контактов по поводу публикации их материалов,
то вряд ли они рискнут на открытое выступление против плагиаторов. В
силу своего положения. J
Кроме них, пострадали еще и пока мне неизвестные авторы глав,
посвященных сетевым трюкам.
А Валик Колесников?
И дело не в том, что одни хорошие, а другие бяки, что одни пишут
вирусы, а другие с ними борются. На ногу наступили всем нам вместе.
Поэтому я призываю всех заинтересованных лиц для начала хотя бы
обменяться мнениями по электронной почте. Напишите мне на
drmad@hotmail.com.
Кстати, кроме юридических методов борьбы существуют еще... эээ...
несколько другие. Скромно намекну, что "тиражу" грамотно написанного
вируса, если он при этом еще и удачно запущен в "дикую природу", -
любое издательство позавидовать может. J Но это крайности, и я всегда
выступал и буду выступать против таких методов.
А вполне цивилизованным и разумным я считаю, например, опубликовать
эту рецензию где только возможно - в конференциях Релком, во всех
доступных электронных журналах, на всех доступных сайтах (в том числе
отдельно обсудить вопрос о размещении этого письма или его фрагментов
на сайтах "Лаборатории Касперского" и "ДиалогНауки") и даже в некоторых
печатных изданиях. Гласность - мощная штука!
Пусть все узнают - "кто есть ху".
- 7 -
Выражаю огромную благодарность Владимиру Н. Кокареву и Анне Э.
Добриной за предоставленную мне возможность ознакомиться с содержанием
рецензируемой книги.
Засим разрешите откланяться. С глубочайшим почтением и искреннейшей
преданностию есмь, милостивые государи, Ваш покорный слуга
Климентьев К.Е.
г. Самара, март 1999 г.
|
