модули были тривиально разрушены
,
и изменение некоторых символов
позволило осуществить их компиляцию и выполнение
.
При формировании каждого массива выполнялся тест на уникаль
-
ность файлов
:
сравнивались друг с другом комментарии для различных
модулей массива
(
или их отсутствие
).
Если файл был уникальным
,
он
включался в массив
.
Благодаря этому тесту не в полной мере предот
-
вращалось наличие в массиве несущественных модификаций файлов
,
но ограничивалось число их точных дублей
.
Уникальность требовалась
для всех файлов массива
.
При формировании каждого массива были использованы те про
-
граммы
,
содержащие атакующий код
,
относительно которых предпо
-
лагается
,
что их реализация будет успешной
.
Массив программ
,
содержащих атакующий код
,
также разделялся
на
“
обучающий
”
и
“
испытательный
”
наборы программ
.
Набор
“
обучающих
”
программ включал в себя
469
файлов
.
Он со
-
стоял из уникальных программ
,
содержащих атакующий код
,
доступ
-
ных на сайтах сети
Internet,
а также программ
,
использующих дефек
-
ты в программном обеспечении
,
заявленных с
1.01.2000
по
15.10.2000
(BugTraq).
Набор
“
испытательных
”
программ
,
содержащих атакующий код
,
включал в себя
67
файлов
,
полученных на сайтах
[3, 4],
и все програм
-
мы
,
заявленные с
16.10.2000
по
31.12.2000 (BugTraq).
Оба набора программ
,
содержащих атакующий код
,
включали в се
-
бя реализации атак на
UNIX-
подобные системы
,
в том числе
,
на осно
-
ве операционных систем
Linux, HPUX, Solaris
и
BSD.
Файлы исходных
текстов этих программ содержали комментарии и различные слова на
европейских языках
.
Исходные данные для случая
,
когда исходный текст программ на
-
писан с помощью средств
,
входящих в состав оболочек
.
Набор
“
обу
-
чающих
”
программ
,
содержащих нормальный код
,
включал в себя
476
файлов
,
собранных из оболочки
SHELLdorado [5],
загрузочные скри
-
пты операционной системы
RedHat 6.1 (
содержимое директорий
init.d
и
rc
∗
.d),
скрипты
(scripts)
оболочек
Borne, Bash, Korn [6–8].
Набор
“
обучающих
”
программ
,
содержащих атакующий код
,
вклю
-
чал в себя
119
файлов
:
программы
,
заявленные с
1.01.2000
по
15.10.2000
(BugTraq),
файлы с сайтов
,
используемых для формирования массива
программ
,
написанных на языке СИ
[9–13],
некоторые образцы атак из
сети
Internet
начиная с
1996
г
.
Набор
“
испытательных
”
программ
,
содержащих нормальный код
,
включал в себя
650
файлов
Redhat 7.1.
Все файлы дерева директорий
(directory tree)
были сканированы для проверки содержания в их пер
-
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
4 97