Читаем Хакеры полностью

Декомпиляция программы чем-то сродни искусству алхимика. Это преобразование программы, состоящей из единиц и нулей, которые компьютер читает как команды «да» – «нет» в нечто, что человек-программист мог бы прочесть и понять. Декомпилировать программу – все равно, что взять книгу, уже переведенную с английского на, скажем, французский, и перевести снова на английский, не заглядывая при этом в оригинал. В новой английской версии слова могут оказаться другими, но хорошие переводчики умеют сохранить суть книги. Когда программа декомпилирована, сам язык может слегка отличаться, но программа действует аналогично оргиналу. Обычно программу компилируют, а не наоборот, ибо после того как программу из исходного текста переводят в выполняемый код, редко возникает необходимость обратного перевода. Собственно, многие лицензии на коммерческое ПО именно потому запрещают дизассемблирование программ, что те, кто это может сделать, могут также захотеть сломать защиту копии или модифицировать ПО. Но иметь оригинальный исходный текст программы – бесценное преимущество, поскольку оно позволяет узнать намерения ее автора. И хотя создатель вируса явно из кожи вон лез, чтобы спрятать свою программу, не оставалось ничего другого, как декомпилировать ее – трудная задача, которая под силу очень немногим программистам.

Как оказалось, Беркли идеально подходил для этой работы, и не только потому, что берклийскую версию UNIX создали и по-прежнему сопровождали здесь – на этой неделе в университетском городке Беркли проходила ежегодная встреча экспертов UNIX со всего мира. Во время прошлогодней конференции по UNIX рухнула фондовая биржа. В этом году – Internet Крис Торек, один из ведущих экспертов по UNIX, остановился как раз в доме у Бостика. Приехал на конференцию и специалист по компиляции из университета штата Юта Дон Сили. Хватило бы одного его, чтобы справиться с программой, но Фил Лэпслй и Питер Йе знали еще одного аса.

Дейв Паре стал экспертом по декомпиляции программ еще когда был аспирантом Калифорнийского университета в Сан-Диего. В 1985 году его вывел из себя автор компьютерной игры Empire, который отказался распространять исходный текст. 22-летний Паре поставил себе целью декомпилировать Empire полностью На это ушло без малого два года. Теперь он жил в Кремниевой долине, в 50 милях к югу от Беркли. Паре не только был специалистом по декомпиляции, но и написал собственный дизассемблер – программу, которая существенно облегчала этот процесс, автоматизировав часть самых рутинных этапов. Поэтому в четверг утром Питер Йе позвонил ему и сказал, что требуется помощь. Паре в первый раз услышал о вирусе.

– А где Фил? Сам он не справится?

– Фил спит. Он работал всю ночь.

Этого хватило, чтобы убедить Паре, что дело действительно серьезное. Он не мог представить, чтобы Фил работал по ночам. Паре сел в машину и через час был в Беркли. В Эванс-Холле он сел за одну рабочую станцию с Крисом Тереком. Напротив Бостик и Сили сидели за другой. Комната превратилась в конвейерную линию. Работа бригады Паре-Торека заключалась в переводе необработанных нулей и единиц каждой команды в код ассемблера, а затем в ''сырой" код на языке Си. Разобравшись с командой, они тут же передавали ее бригаде Бостика-Сили, которые пытались понять конкретный смысл кода.

На конференции только и говорили, что о вирусе, который накануне придушил сеть. Те из участников, кто собирался приехать в Беркли в четверг утром, были вынуждены остаться дома и воевать с агрессором. Для присутствовавших обсуждение вируса затмило семинары типа «UNIX с NPROC = 3000» и «Кернелизация МАСН». Двоих из участников уже вытащили с конференции для помощи в декомпиляции, а остальные во время перерывов заглядывали в Эванс-Холл узнать, как идут дела. Проголодавшись, программисты заказывали что-нибудь в ближайшей пиццерии и обедали не отходя от компьютеров.

И на западном, и на восточном побережьях продолжали разбирать код. Вслед за духом сотрудничества в оба коллектива просочился элемент соперничества. Каждая группа в глубине души надеялась первой прийти к финишу. Кроме того, поскольку обе команды предпочитали работать в собственном ритме, намного легче было идти собственным путем, чем приспосабливаться к чужим методам.

Кейт Бостик помогал в работе, когда не был занят, отвечая на панические телефонные звонки или получая электронную почту. Минимум раз в час звонили люди из разных отделов Министерства обороны и спрашивали, кончили ли уже в Беркли дизассемблировать код. Бродячая программа могла содержать любые команды, и это порождало тревогу и напряжение. В какой-то момент Паре занервничал: он увидел, что код содержит таймер.

– Эй, парни, – окликнул он остальных.

– Каждые 12 часов она что-то делает.

– Что? – в один голос закричали все.

– Она вызывает подпрограмму под названием Н_С1еаn.