В деле интерпретации вирусного кода быстро прогрессирует новое поколение полицейских: судебные компьютерные аналитики.

Поймать писателей вирусов, наносящих вред своими злонамеренными кодами, и довести дело до суда — трудная задача. Интернет больше приспособлен для распространения информации, чем для ее отслеживания.

В деле интерпретации вирусного кода быстро прогрессирует новое поколение полицейских: судебные компьютерные аналитики. Как и автор этой статьи, все программисты пишут в своей собственной уникальной манере, и аналитики изучают вирус для определения его автора.

Чтобы вычислить писателя вирусов, судебные компьютерные аналитики в первую очередь смотрят на место его первоначального появления. Был ли он сначала послан по электронной почте, или был послан на электронную доску объявлений, или был скачан по обмену через программу Р2Р? Если применялся вирус как инструмент для кражи данных, это может дать дополнительные сведения о злоумышленнике. Если место его первоначального появления не может быть найдено или оно не дает никакой полезной информации, то выполняется следующий шаг — анализ самого кода вируса.

При этом судебные компьютерные аналитики оценивают стиль, в котором вирус был написан, каждый участок кода на языке программирования, который определяет, как программа сообщает компьютеру, что ему нужно делать (без того, что программист должен написать на машинном языке, совершая очень нудную процедуру инструктирования компьютера на наиболее фундаментальном уровне). Кодирование на машинном языке может повергнуть жизнь программиста в сплошную нищету, а задачу кодирования — в поглощение очень большого количества времени. Другие языки программирования сокращают машинные команды в более или менее понятный человеческий язык понятий и выражений. В каждом языке это можно сделать по-разному. Писатели вирусов используют для их написания все виды языков программирования: С, С++, Visual Basic. Обычно, для написания своих кодов писатели вирусов предпочитают один язык программирования.

Судебные компьютерные аналитики изучают код вируса и смотрят, не содержится ли в них каких-либо очевидных зацепок. В коде всегда можно найти «почерк», индивидуальные особенности и привычки, характерные для каждого писателя вирусов. Как писатели романов применяют определенные фразы или стиль написания, так и программисты пользуются присущими только им способами написания своих кодов. Эти способы также дают зацепки для установления происхождения вируса.