Технологии реинжиниринга. · На сайте www.sysinternals.com можно найти свободно распространяемые инструментальные средства аудита для Windows

· На сайте www.sysinternals.com можно найти свободно распространяемые инструментальные средства аудита для Windows.

· Список Rosetta Stone (по адресу http://bhami.com/rosetta.html) позволяет найти программы трассировки для заданной платформы.

· Отладчики используются для управления выполнением исследуемой программы и поиска ошибок в ней или исследования логики ее работы.

Тестирование методом «черного ящика»

· Тестирование методом «черного ящика» позволяет обнаружить внутренние компоненты, скрытые от невооруженного взгляда исследователя.

· Вскрытие корпуса «черногоящика» – самый легкий способ для определения его внутреннего строения.

· Абсолютно «черныхящиков» нет. Одни из них – более «черные», а другие – менее.

Часто задаваемые вопросы

Приведенные вопросы и ответы авторов позволяют оценить степень уяснения читателем изложенного в главе материала и получить представление о возможности применения полученных знаний на практике. Если читатель захочет задать автору вопрос, то ему следует посетить сайт www.syngress.com/solutions, заполнить и отослать форму «Вопрос автору» («Ask the author»).

Вопрос: Какой наилучший метод исследования уязвимостей?

Ответ: На этот вопрос можно дать только субъективный ответ. Наилучший метод исследования уязвимостей – это тот, который исследователю наиболее знаком, наиболее удобен и позволит быстрее провести исследование. Рекомендуется поэкспериментировать с различными методами и схемами их применения.

Вопрос: Законны ли с юридической точки зрения декомпиляция и другие методы реинжиниринга?

Ответ: В Соединенных Штатах реинжиниринг скоро может стать противозаконным. В Акте авторского права цифрового тысячелетия (Dig^l Millennium Copyright Act) содержатся меры по предотвращению обхода обманным путем технологических мер управления доступом к работам, защищенным авторским правом. Исходный текст программы может быть защищен авторским правом, поэтому в этом случае реинжиниринг текста, защищенного авторским правом, противозаконен.

Вопрос: Какие инструментальные средства могут быть полезны при экспертизе сложных исходных текстов программ?

Ответ: Такие инструментальные средства, как SCCS и CVS, могут облегчить экспертизу исходного текста программы. Кроме того, применение интегрированных сред разработки (IDEs – Integrated Development Environmen) может облегчить экспертизу исходного текста.

Вопрос: Где можно узнать правила разработки защищенного программного обеспечения?

Ответ: Для этой цели подойдут ресурс Интернета «Часто задаваемые вопросы по разработке защищенного программного обеспечения в среде UNIX (Secure UNIX Programming FAQ)» по адресу www.whitefang.com/sup/secure-faq.html или список адресатов secprog, поддерживаемый Оливером Фридричсом (OliverFriedrichs).

Вопрос: Где можно достать утилиту strace для моей платформы?

Ответ: Утилита strace – инструментальное средство Linux. Наилучший выбор для платформы Windows, обладающий аналогичными функциональными возможностями, – IDO Pro. Truss реализует ту же самую функцию на платформе Solaris. Дополнительную информацию можно найти в документации производителя.

Вопрос: Откуда можно загрузить исходные тексты приведенных в главе примеров?

Ответ: Исходные тексты доступны по адресу www.syngress.com/solutions.