Кибербезопасность | Почему EXE файлы стараются защитить от взлома

Создавая софт, игру, какую-либо компьютерную программу, она представляет собой EXE файл. Во многих случаях, этот файл при помощи специальных программ можно взломать прямо указав его для них, программы-декомпиляторы - разные, есть такие которые вполне успешно превращют файл в программный код C++, он конечно не содержит понятных и легко читаемых переменных, однако например это достаточно легко можно сделать с exe файлами каких-нибудь архиваторов и они даже могут аккуратно разделять в полученном коде функции и подпрограммы виузально - если хорошо знать язык программирования то при желании взломщик может попытаться понять как она работает и внести свои изменения в код, после чего снова сделать EXE, хотя и получится это не всегда, но иногда это получается. Пока еще не говорим о программах антивирусах которые должны будут такой измененный файл обнаружить. Вредоносный код совсем не обязательно может быть таким, который будет "лезть" на уровень операционной системы, те же программы шифровальщики портящие файлы могут это сделать не привлекая внимания, другое дело что не идя на уровень системы эти программы не так ярко опасны и работают чаще внутри 1 системы не ведя поражение всех компьютеров в сети. Антивирусы зачастую более рассчитаны на отлов наиболее опасных фрагментов кода способых к массовому поражению компьютеров чем на единичные (слабо тиражируемые не массовые) вредительские программы. Если же это компьютерная игра, конечно же разобраться в ней просто так не выйдет - без исходников потребуются многие годы даже для целой команды, т.к. код будет не читабелен и крайне сложен после декомпиляции exe - но в абсолютном большинстве случаев хакерам это и ненужно. Достаточно разобраться в том какие места в коде точно будут обработаны процессором при старте файла и вставить туда свой кусок кода, ничего более почти не меняя там. Далее файл распространяется под видом бесплатного или взломанного софта, с трояном внутри.

На заре развития компьютеров - как минимум 16 битных антивирусные программы уже появились. Однако большинство владельцев систем ими не пользовалось - места было мало, частота атак не высока, и часто были распространены вредительские программы которые просто портили данные выводя систему из строя и могли распространятся на дискете а затем и на CD дисках с набором софта - разработчики программ стали защать свои файлы сами. Конечно в этом нет необходимости для некоторой студенческой курсовой которая не будет тиражироваться, но для софта предполагаемого к установкам десятками тысяч это более актуально.

Это одна из причин появления первых защит для EXE в виде контрольных сумм файлов внутри кода программы, что бы препятствовать их взлому и применению для вредительских целей, но эта технология легко обходится - с ростом IT технологий появляются и новые программы для обхода такой защиты и даже делающие этот процесс полу-автоматическим. В другом способе уже Microsoft придумала цифровые подписи однако их проверка требует Online - которые не всегда есть на дачах или в дни нестабильной работы интернета, да и не все разарботчики идут в корпорацию софта за получением такого сертификата при этом являясь вполне добросовестными разработчиками, просто им это ненужно. Третий способ - применение программ затрудняющих декодирование EXE в программный построчный код для его модификаций, создающий множество ложных цепочек кода и переменных при их декомпиляции и добавляющий множественные проверки контрольных сумм, однако такая обработка файла может замедлять его работу. Что бы программа созданная программистом не оказалась выложена в интернете с трояном внутри и не испортила о себе первое впечатление пользователя, ее требуется защищать от взлома, и средства защиты (примененные алгоритмы) не должны быть известны никому, иначе их легко обойти. Защищенный файл более вероятно, по крайней мере хакеры - новички, обойдут стороной просто что бы не тратить на него время и это может спасти от лишних переживаний о скачанных файлах и заражении системы с переустановкой OS многих незадачливых пользователей ПО (не всегда антивирусы определяют все трояны по сигнатуре, а более сильные режимы защиты предугадывающие угрозы часто мешают использованию компьютера и их иногда просто отключают до обычного уровня работы по базам уже ранее известным вирусам.)

Удивляясь иногда о том, что по новостям говорят о массовой атаке и повреждении трех сотен тысяч компьютеров и больше несмотрая на установленные там программы антивирусы, что с тех пор прошло пара лет а у кого-то система до сих пор вообще ничего не "подхватила" - это обясняется тем что волна заражений происходит часто пока зловредный код использует ранее неизвестные приемы - как только специалисты изучат код он сразу добавляется в базы антивирусов не только на настольных компьютерах, но и на антивирусные программы установленные на серверах, и даже у самих провайдеров (сетевые фильтры IT инфраструктуры которые блокируют трафик если в нем обнаруживаются массово известные вирусы и трояны во время попыток их транспортировки между подсетями провайдеров) - подобные механизмы вместе с быстрой блокировкой источников не позволяют компьютерам выходить из строя нацепляв вирусов уже за пару первых дней нахождения в сети.

Эти же измененные EXE применяют для взлома и смены владельца у раскрученных групп в соцсетях - высылая ссылку на такой файл в почты социальных аккаунтов их администраторам и если они имеют неосторожность их открыть то потом теряется доступ к уже созданым группам до момента их возврата через администрации соц. сетей и хорошо если к тому моменту кто-то не запостит там троян для массовой рассылки всем подписчикам - мало того что будет с их системами, но и группу вообще заблокируют на долго или даже вообще удалят не дожидаясь реакции ее реального владельца - те у кого появляется некий ресурс - а раскрученная группа стоит не одну десятку тысяч, являются повышенной целью подобных атак и должны проявлять намного большую бдительность для защиты и себя и участников своих соц.групп, в интернете крупные сообщества видно и владельцы таких аккаунтов попадают в списки рассылок со ссылкой на сайт с подобными файлами.

Зловредные программы встроенные во взломанные EXE не просто проникают в компьютеры где нет антивирусов, они иногда умеют ВЫКЛЮЧАТЬ антивирусы. А еще более сложные трояны помимо своей вредности оснащены разными надстройками кода который использует аппаратные уязвимости процессора или операционной системы (в частности моментальная перезагрузка системы происходит для встройки трояна в момент пока антивирусы еще не загрузились с OS и пока они еще не просканировали сам файл и не удалили его). Поэтому просто знание о том что антивирус всегда защитит - это недостаточное знание о защите своих данных на компьютере.