Заметка написана по просьбе компании «Доктор Веб»
Время от времени нам задают один и тот же довольно-таки неоднозначный вопрос: как стать вирусным аналитиком? Сначала я хотел весьма пространно написать о том, что вирусному анализу никто и нигде специально не обучает, и потому аналитики каким-то таинственным образом заводятся в вирлабе сами по себе, но начальство сурово погрозило мне пальцем и приказало отставить шуточки и прочий, понимаешь, юмор. Нельзя шутить в эпоху экономического кризиса, глобального потепления и засилья киберугроз, строго сказало начальство. Поэтому постараемся осветить данный вопрос максимально сжато и конструктивно в пределах продиктованной нам свыше суровой реальности.
Итак, вирусному анализу не учат ни в одном университете, а потому основной источник знаний вирусного аналитика — это самообразование. Нужно искренне интересоваться темой, искать, изучать, исследовать — тогда и будет достигнут требуемый результат. Прежде всего, следует освоить одну из существующих ныне реализаций ассемблера, причем на достаточно глубоком уровне. Если опытному вирусному аналитику случайно уронить на ногу серверную стойку, он начнет громко ругаться на ассемблере. Наиболее опытные аналитики обругают уронившего сразу в машинном коде. Разумеется, для достижения высоких результатов в программировании нужно обладать хорошими знаниями в области математики, поэтому, если в школе вы использовали логарифмическую линейку и транспортир в качестве балласта для пенала, лучше посвятить себя какой-нибудь другой, менее сложной профессии. Например, стать космонавтом.
Вторая немаловажная технология, которой следует овладеть, это реверсинг, он же «обратная разработка» или «реверс-инжиниринг». На практике это означает следующее: специалист должен разобрать имеющийся у него образец на запчасти, изучить его устройство и понять, как эта штуковина работает. Примерно таким образом в современном Китае создается практически вся бытовая техника и электроника, поразительно похожая на соответствующие западные образцы. Вирусные аналитики, в отличие от китайских инженеров, используют обратную разработку в целях исследования исходного кода вредоносных программ, для чего они дизассемблируются с помощью специальных инструментов. Опытные аналитики и вовсе способны обходиться без дизассемблера — им достаточно мельком посмотреть на открытый в текстовом редакторе исполняемый файл, чтобы точно определить, представляет он угрозу или нет. Правда, некоторые считают это особым видом черной магии и на всякий случай стараются держаться от таких специалистов подальше.
Кроме всего прочего необходимо хорошо ориентироваться в архитектуре современных операционных систем. Нужно уметь ставить перед собой цели и уметь их добиваться, ведь вирусная лаборатория — это мозг любой антивирусной компании, это высокопрофессиональный и очень закрытый коллектив. Закрытый в прямом смысле слова. Вирусные аналитики «Доктор Веб» обитают в отдельном помещении, надежно спрятанном от окружающего шума и солнечного света, доступ в которое осуществляется по специальным пропускам и только для избранных. Иногда их кормят. Руководство компании никому не рассказывает, что произойдет, если однажды выпустить вирусных аналитиков на волю. Возможно, таким образом оно оберегает прочих сотрудников от культурного шока, который те могут испытать при столкновении с этой таинственной и загадочной цивилизацией.
Таким образом, чтобы стать вирусным аналитиком, существует лишь один проверенный способ: учиться, учиться и еще раз учиться, как завещал нам один широко известный политический деятель. Ставить эксперименты, читать статьи, содержащие технический анализ современных и наиболее актуальных угроз. Тогда, быть может, рано или поздно и вам представится случай вступить в таинственную организацию под названием «вирусная лаборатория Dr.Web», прикоснуться к передовым технологиям, сокровенным знаниям и встать на защиту человечества от троянцев и вирусов.