Альтернативная защита от злоумышленного кода

Введение
Вирусы и другая онлайновая нечисть становятся все изощреннее. К счастью, совершенствуются и методы защиты ПК. Мы познакомим вас с теми из них, которые выходят за рамки традиционного антивирусного ПО.

Можно ли побороть вирус, не зная его имени и еще не имея противоядия? Научившись этому, можно было бы безбоязненно путешествовать в вебе, не опасаясь, что какой-нибудь шальной Java- или ActiveX-код удалит данные с жесткого диска. Подобные возможности предоставляет эвристическое ПО, и неудивительно, что производители традиционных антивирусных программ стали включать в последние версии своих продуктов эвристические методы.

В переводе с греческого слово heuristic означает «отыскивать». По отношению к вычислительной технике оно обычно применяется для обозначения ПО, способного решать задачу альтернативными методами с целью сокращения общего времени обработки. Антивирусные компании применяют эвристические методы для сканирования файлов и программ на наличие подозрительного кода, который, скорее всего, не относится к полезной программе, а представляет собой вирус.

В настоящей статье обсуждаются преимущества эвристических методов по сравнению с подходом сравнения с образцами, который традиционно используется антивирусными компаниями, а также речь пойдет о том, какие методы борьбы со злоумышленным кодом могут использоваться в будущем.

Недостатки традиционного антивирусного ПО
Еще в начале 1990-х, когда компьютерные вирусы, такие как Stone.Michaelangelo, распространялись медленно, часто через зараженные дискеты, антивирусные компании обнаружили, что известные вирусы можно определять по характерному байт-коду (или сигнатуре). Метод сравнения с образцами – простейшая форма эвристики – работал успешно, но теперь, когда вирусная эпидемия может охватить весь мир за считанные часы, антивирусным компаниям приходится подыскивать другую тактику.

Чтобы найти определенный вирус, программе сравнения с образцами нужно иметь его сигнатуру. Нет сигнатуры – не с чем сравнивать. Чтобы ускорить доставку обновленных файлов с сигнатурами вирусов, многие производители предлагают сервисы динамического апгрейда по интернету, но это, к сожалению, не помогает в тех случаях, когда компания еще не выпустила обновленного файла. Взять, к примеру, две самые крупные эпидемии вирусов за последнее время: ILOVEYOU и Anna. В обоих случаях, когда произошли сотни первых заражений, у производителей антивирусного ПО еще не было файлов с новыми сигнатурами. В случае с ILOVEYOU эти файлы появились с задержкой на 4-6 часов.

Почему потребовалось так много времени? Сначала производителям антивирусного ПО нужно убедиться, что их файл сигнатур обнаруживает уникальную последовательность байтов, характерную для вируса. Затем необходимо создать версии ПО для разных операционных систем, на котором оно должно работать. Наконец, требуется провести испытания: не может же производитель разослать средство, которое приносит больше вреда, чем пользы!

Но даже если бы быстрота обновления и не являлась ограничивающим фактором, то от адаптируемости вирусов уже не отмахнуться. Сегодня типичный зашифрованный вирус может распространиться по всему миру за несколько часов, изменяя от компьютера к компьютеру свой размер и характеристики байт-кода. Принципиальный недостаток антивирусного ПО на основе сравнения с образцами заключается в том, что оно действует слишком буквально; чтобы совпадение с образцами обнаруживалось, оно должно быть полным.

Типичный файл .dat антивирусной программы содержит уникальные характеристики около полумиллиона известных вирусов. Однако злоумышленник может создавать новые варианты, просто компрессируя файл. Доступные в интернете инструменты, такие как Shrinker, PKlite, AS-pack, Petite и Wwpack, позволяют модифицировать файлы вирусов таким образом, что они будут легко проскакивать антивирусную защиту, действующую по принципу сравнения с образцами. Число возможных комбинаций компрессии для каждого известного вируса измеряется сотнями. Наконец, модель борьбы с вирусами методом сравнения с образцами становится слишком громоздкой, чтобы устанавливать и поддерживать ее на обычном компьютере.

Новое эвристическое антивирусное ПО
Для нового эвристического антивирусного ПО конкретные характеристики того или иного вируса не важны. Оно обнаруживает последовательности байтов, которые характерны только для вирусов и не используются в доброкачественных программах. Например, эвристическая программа обратила бы внимание на любой код, который вносит изменения в системный реестр. Или на такой, который способен модифицировать или удалять файлы .exe.

Но эвристическое ПО может подавать ложные сигналы. Это и удерживало антивирусные компании, удовлетворенные успехом более надежных методов сравнения с образцами, от его широкого применения. Здесь важно отметить, что ни один метод обнаружения вирусов не дает 100%-ной точности. Сегодня многие популярные антивирусные программы, хотя и включают элементы эвристики, на самом деле сочетают в своих последних релизах методы эвристического сканирования с методами сравнения с образцами. Пользователям этих комбинированных антивирусных программ все равно приходится загружать последние обновления файлов сигнатур, однако эвристическая часть ПО способна обнаруживать новые вирусы, обеспечивая заказчикам немедленную защиту от некоторых быстро распространяющихся в интернете эпидемий.

Но есть компании, которые вообще отказались от программ сравнения с образцами и занялись созданием чисто эвристического ПО. Один из эвристических методов называется контент-фильтрацией. Этот статический метод проверяет весь входящий код по набору правил (это во многом напоминает сравнение с образцами). Другой эвристический метод, динамический, называется sandboxing. Он позволяет исполнять подозрительный код внутри виртуальной «песочницы» (sandbox), как это принято для Java-апплетов. Третий метод, анализ поведения, распознает вирус или хакерскую атаку не столько по самому коду, сколько по его влиянию на общую производительность системы. ПО анализа поведения позволяет системе сохранять стабильность, изолируя и прекращая работу злоумышленного кода.

По мере стирания граней, отделяющих просто вирусы от хакерских атак с использованием вирусов, эти компании, отказавшиеся от традиционного антивирусного ПО на базе сравнения с образцами, оказываются в лучшем положении, предлагая средства, обнаруживающие любые формы злоумышленного кода.

Программы с контент-фильтрацией
ПО с контент-фильтрацией можно рассматривать как более гибкую версию антивирусных программ на базе сравнения с образцами. Программист может выбрать разные способы выполнения программой одной и той же инструкции, например модификации системного реестра. ПО сравнения с образцами искало бы специфическую последовательность байтов, используемую для создания такой инструкции в конкретном вирусе. ПО с контент-фильтрацией содержит список всех возможных последовательностей команд, приводящих к изменению содержимого системного реестра Windows. Так как системный реестр может изменяться и при установке нового ПО, контент-фильтры, прежде чем бить тревогу, обычно проверяют некоторые дополнительные критерии.

Контент-фильтры способны читать и компрессированные файлы. Их можно сравнить с рентгеновским аппаратом на пунктах контроля в аэропортах: они точно так же просвечивают содержимое входящих в сеть пакетов.

В области контент-фильтров определились два лидера. Один из них – нью-йоркская компания Sybari, выпускающая продукт Antigen для пользователей систем электронной почты Microsoft Exchange и Lotus Domino. С 1995 года Sybari установила свое ПО на 2,5 млн систем во всем мире. Им пользуются столь различные организации, как Amazon и правительство США.

Компания Baltimore Technologies производит семейство эвристических продуктов MIMEsweeper, которое включает специальные версии для Exchange и Domino, а также другие продукты, блокирующие порнографию, зашифрованные сообщения e-mail и т.п. Эта ирландская компания, учрежденная в 1975 году, приобрела MIMEsweeper в 2000 году у Content Technologies; в разношерстном списке своих заказчиков она указывает правительства многих государств.

Работая на уровне корпоративного интернет-шлюза, Antigen и MIMEsweeper уменьшают потребность в сканировании каждого файла на каждом настольном ПК. При этом повышается и эффективность защиты. На системном уровне подозрительные файлы можно перепроверить или переслать в определенное подразделение, например в отдел кадров. Часто конечные пользователи получают e-mail с сообщением о том, что вложенный в него файл проверен контент-фильтром.

Как и ПО сравнения с образцами, программы на основе контент-фильтров опираются на скрипты, или сигнатуры. Но их списки правил доступны для редактирования пользователем. Например, если системный администратор узнал о новом вирусе или новом виде быстро распространяющейся угрозы, он может немедленно настроить ПО контент-фильтра на блокировку этой угрозы, защитив сеть до появления более точного определения. Так, администратор может заблокировать все сообщения со словами I love you в поле subject или с вложенными файлами *.vbs.

Более полный пример системных правил, которые может устанавливать пользователь, приводит на своем веб-сайте Baltimore Technologies.

Динамическое ПО типа sandboxing
Еще один метод выявления злоумышленного кода – исполнение программ в безопасном месте. Динамическое ПО типа sandboxing создает в компьютере защищенное пространство, в котором может выполняться подозрительный код. Эта концепция аналогична использованию среды виртуальной машины в программировании на языке Java. Так как злоумышленный код ничего не может добиться, не обратившись к операционной системе, sandbox следит за всеми его системными вызовами и проверяет их по установленным пользователем правилам. В случае любого нарушения пользователю будет доложено, что это подозрительное приложение, выполнять которое опасно.

Преимущество данного метода состоит в том, что проверяется только код, так что никаких вопросов по поводу намерений интерпретации или даже цензуры каких-то видов контента не возникает. Вместо перечисления всех возможных вариантов программирования известных вирусов динамическое ПО типа sandboxing содержит лишь набор основных правил, охватывающий наиболее фундаментальные категории:

Доступ к файлам: не читает (записывает, удаляет) ли код какие-нибудь файлы?
Сети: не ищет ли код другие подключенные к сети диски?
Операционная система: не изменяет ли код какие-нибудь параметры ОС?
Системный реестр: не заносит ли код сам себя в системный реестр с тем, чтобы он каждый раз запускался?

Эвристическую технологию sandboxing уже несколько лет развивают две компании: Pelican и Finjan. Продукт Pelican SafeTNet работает на уровне интернет-шлюза, а Finjan предлагает как версию для интернет-шлюза, так и настольную версию для индивидуальных пользователей.

А теперь отвлекитесь от e-mail вирусов. Вы думаете, что вам не страшен злоумышленный код из веба? Тако вот, на сайте Finjan имеется несколько онлайновых тестов, которые демонстрируют возможности распространенных хакерских приемов. Если вы не защищены, то эти программы создадут в вашем компьютере папку под названием You have been hacked и продемонстрируют, какие файлы они могут скопировать. Я нашел в этой папке случайно выбранные документы Word и даже файл .wav, содержащий звуковую запись, сделанную со встроенного в мой компьютер микрофона. Если бы в этот момент проходило важное совещание, в этом файле оказался бы фрагмент его записи.

ПО анализа на поведенческом уровне
Недавно появилось новое ПО, которое не обнаруживает определенных угроз и не ищет специфический код, а анализирует общую производительность системы. В начале 2001 года основанная группой специалистов по защите информации компания Okena, что по-гавайски означает «достижение», выпустила свой первый продукт Stormwatch.

Okena Stormwatch сочетает статические и динамические эвристические методы с анализом на поведенческом уровне. В прошлом такого анализа избегали, так как вероятность ошибки часто сводила его преимущества на нет. В данном случае анализ на поведенческом уровне опирается на предположение о полномасштабной атаке. Stormwatch располагается в центре Windows, проверяет все команды и обращения к сети или системному реестру и может реагировать на любое отклонение от нормального поведения. Выпускаются версии для настольных ПК, ноутбуков и систем Windows NT и 2000.

Собираем все вместе
Каждый в отдельности из этих программных продуктов, защищающих от злоумышленного кода, не заменяет традиционных средств защиты; многие из них предназначены для использования наряду с традиционными средствами обеспечения безопасности, такими как брандмауэры и антивирусное ПО. В общем случае для надежной защиты системы необходимы следующие меры:

Система обнаружения проникновений (для корпоративных пользователей)
Фундаментальная система обнаружения проникновений остается лучшим средством контроля запросов, поступающих в сеть, и выявления попыток масштабной атаки или проникновения злоумышленников администратором крупной сети.
Брандмауэр (для индивидуальных и корпоративных пользователей)
Брандмауэр необходим для защиты операций с портом как в сети, так и в настольной системе. Проблема в том, что брандмауэры пассивны. Вы можете открыть порт или закрыть его, но контент, пропускаемый этим портом, останется неконтролируемым.
Фильтры злоумышленного кода для интернет-шлюза (для корпоративных пользователей)
Программы Balitmore Technologies WebSweeper, Sybari Antigen и Finjan SurfinGate позволяют контролировать активный код, загружаемый с веб-сайтов в крупных сетях.
Фильтры злоумышленного кода для ПК (для индивидуальных пользователей)
Программа Finjan SurfinSheild создает «песочницу» для активного кода, в большинстве случаев позволяя безопасно выполнять его.
Антивирусное ПО (для индивидуальных и корпоративных пользователей)
Задача программных продуктов, анализирующих поведение, – защищать от неизвестных атак, но они предназначены для работы на пару с традиционным антивирусным ПО.

Защита компьютера больше не является одношаговой процедурой. Чтобы сохранять свой ПК в безопасности, необходимо использовать целый комплекс программных средств защиты.

Обсуждение и комментарии

	Zaufi 29 May 2001 4:57 AM
скоро мы доживем до полноценных экспертных систем обнаружения вирей... :) -- тут то новые камни от Intel и пригодятся... а еще бы они их снабдили аппаратной поддержкой алгоритмов принятия решений (хотябы для продукционных ЭС :) imho нашелся бы какойньть автор создавший книжку типа "Антивирусьная защита для чайников" -- пользы больше бы было по моему опыту лучше знать чо как происходит (смысле огородить себя самому от заразы и\или уметь обезвредить) чем городить черти какие защиты и еще "ухаживать" за ними (учитывая еще чо все это зачастую не бесплатно) PS: последний раз виря у себя ловил в 92 году -- эпоха полифага Лозинского :)) правда ни разу мои данные не пострадали -- создание бакапов это безусловный рефлекс :)

	me - userinternet.com 29 May 2001 11:06 AM
У кого-нибудь создалась папка на десктопе (ссылка на онлайновые тесты Finjan), а? Я попробовал, но ИЕ вывел стандарное окно с вопросом о доверии. Или же мне следовало нажать "Yes"? :)) Но тогда в чем баг жава-машины или activeX?

	rGlory 29 May 2001 12:28 PM
Такого маразма я давно не читал. Особенно перл - выявляет порнографию!!! Она то есть обычную фотографию от порнграфической может отличить? Вот это да! Хочу такую штуку. Вот учитесь, как нужно воздух продавать.

	rGlory 29 May 2001 12:31 PM
2 Zaufi Ой боюсь не скоро доживем (если вообще доживем). То, что здесь написано на 90 персентов полный бред. Сказки для менеджеров дошкольного возраста и младших классов (читай средних и крупных компаний)

	Вкуц 29 May 2001 4:05 PM
2 rGlory: "...выявляет порнографию по именам файлов, содержащихся в базе данных..." Видимо либо на совпадение, либо (и скорее всего) на ключевые слова в именах файлов. Кстати, "червяк", ктороый это делает, еще и "стучит" мылом в ФБР на предмет педофилии. :)))) Кстати, интересно, а как вся эта хрень среагирует на фотку под названием "DickAndMyBabyEating.jpg"??? Это же можно перевести и как "Дик и моя милая за завтраком", и как "Ребенок с....т член" :))))))

	Вкуц 29 May 2001 4:15 PM
2 rGlory: Кстати, о блокировке порнухи. В свое время я участвовал в проекте оптимизации ПО для спутников слежения за земной поверхностью (лесные пожары, погода и т.д.). Для минимизации траффика было задумано производить предварительный анализ отснятого материала прям на борту. Дабы не гонять неинтересные фотки на землю. Так вот могу авторитетно заявить, что программно можно с большой долей вероятности распознать ну... процентов 80 порноты. :))) Алгоритм прост, но требует больших вычислений. Причем даже не один алгоритм существует. Простейший вариант: Граничный анализ изображения (в основном отсечка по цветам кожи), построение модели тела "на перекрытие", обсчет карты теней и анализ на совпадение теней и темных участков на отсеченном изображении. Обнаженная фигура будет довольно точно распознана. Конечно, эротику от порноты такая фича не распознает, но... Ничего смешного в существоании таких алгоритмов нет. :)

	R2D2 29 May 2001 4:33 PM
2Вкуw Подтверждаю именно так примерно и делается... Тоже были работы связанные с поиском взлетных полос на фотоснимках (как я думаю понятно)

	rGlory 29 May 2001 5:50 PM
Да ну? Ну если алгоритм прост - киданите сюда алгоритм, а еще лучще програмулину, а мы и проверим, как она там карту теней накладывает. >> Для минимизации траффика было задумано производить предварительный анализ отснятого материала прям на борту. Дабы не гонять неинтересные фотки на землю. Задумано то было, а реализовано было? Процентов 80% примерчик плиз - очень хочется посотреть

	tamtam 29 May 2001 6:04 PM
Ну блин одни разведчики собрались... Прямо тусовка для шпионов ;)

	Irsi - irsiextranet.ru 29 May 2001 6:55 PM
2rGlory: Да тебе сказали как это делается...:) Имхо Вкуц дал достаточно четкие инструкции...:)

	AT - 220220pager.icq.com 29 May 2001 8:02 PM
Чур я не разведчик ?? ;o) Как по мне - так от вирусов так не защитися, надо делать так чтобы юзер явно указывал что он хочет что-то запустить, а не просто щелкал что-то. Да и права всем ActiveX/Jaba порезать, в корпоративной среде их еще на входе в сеть Proxy отфильтровывают.

	Zaufi 30 May 2001 4:28 AM
2 rGlory: еще один пример... -- биометрия. Один из ее методов... даже не знаю как по руски сказать прально: "распознавание морды юзеря" :) (facial recognition в оригинале). Более того есть коммерческие продукты. (см. http://www.saflink.com и http://www.novell.com/products/nmas) Последний позволяет расширить методы авторизации в сетях Novell (прикрутив SAF модули к Novell Modular Authentication Service, можно например получить нечто например такое решение: юзерь может попытаться улогиниться показав свою репу в камеру, ежели это понедельник утро после праздника :), можно попробовать сказать ключевое слово в микрофон (если накануне голос не пропал :), ну или в конце концов собрать остатки воли в кулачок и "по старинке" напечатать свой пассворд :) -- а можно эти условия объединить по "И" а не по "ИЛИ" и тогда получится сетка с высокой степенью секурности... :) ... тьак вот я о чем... -- компы нынче не только порно распознают... но и юзерей (участвующих в нем :) различают... PS: а вообще биометрия штука занятная (хотя пока дорогая) -- но за этим будущее (причем не столь отдаленное как многим кажется)

	eXOR 30 May 2001 9:22 AM
По поводу статьи... ЭВРИСТИКИ БЫЛИ ОБМАНЫВАЕМЫ, ОБМАНЫВАЮТСЯ И БУДУТ ОБМАНЫВАЕМЫ ДО ТЕХ ПОР, ПОКА НЕ СДЕЛАЮТ ИНТЕЛЛЕКТ, ПО ГИБКОсТИ РАВНЫЙ ЧЕЛОВЕКУ. ------------- Все херня, что вирусы становятся изощреннее... последнее время мне попадаются только очень тупые особи... куда уж там до One.Half до такого у новых вирусописателей мозгов просто не хватит. Пишут всякие поделки на VBS... ;-(((... вири передраются один с другого... ;-( раньше хоть почерпнуть можно было что - то умное из их кода, да и человек их писавший программировать учился, а теперь... ;-((...

	AT - 220220pager.icq.com 30 May 2001 9:54 PM
Человек который One.Half написал просто универ уже окончил и работать пошел :o)

	Валерий П - Polukhin_VSirkutskgiprodor.ru 31 May 2001 11:04 AM
А может быть настала пора сам подход к созданию вычислительных сред менять? Возможность создания вирусов заложена изначально… Манипулятор со съехавшими мозгами представляете? Ну а теперь вообразите автоматическую линию… это не данные на винте потерять…

	R2D2 31 May 2001 2:56 PM
2Валерий П "новый" подход реализован был ещё в БЭСМ b в настоящих Эльбрусах... там это в общемто крайне затруднено спецификой самой работы процессора - VLIW... сейчас это (надо заметить с 15 летним опозданием) реализовано (но неполностью) в Itanium (Mersed) и во многом в системах AS/400 -IBM, но на качественно другой (не связанной с VLIW) технологией, к примеру там даже проверка пермишенов идёт на АППАРАТНОМ уровне, что сломать в принципе невозможно....

	rGlory 1 Jun 2001 5:19 AM
2 Zaufi >> Один из ее методов... даже не знаю как по руски сказать прально: "распознавание морды юзеря" Есть такие системы - отпечатки пальцев, геометрия руки итд. Это все хорошо. Только это задача отличить эталон, который известен своими характеристиками, от подделки. Например при методе на основании геометрии руки - железяка выдает 8 байтный номер, который, как говорят производители, уникален для каждого жителя земли. При определении порно стоит принципиально другая задача. При этом задача распознавания текста - детские игрушки. Определить, что на фотографии тело, притом обнаженное, а не кусок стены телесного цвета - задача отнюдь не тривиальная. Даже предположим - что-то близкое может быть где-то там как-то можно реализовать - такая система будет стоить, я думаю, дороже, чем ущерб от всех порно вместе взятых за 50 лет вперед.

	Антон Блинков - bavinfopac.ru 1 Jun 2001 7:17 AM
есть такая хохма, тоже система по распознаванию порно зарубила фотографию Джима Картера - ей показались подозрительеными его губы :)

	Валерий П - Polukhin_VSirkutskgiprodor.ru 1 Jun 2001 9:14 AM
Для R2D2 Узнаю старую гвардию и полностью с Вами согласен. Решения есть. А от вирусов есть и польза - отработка устойчивости программно-аппаратных комплексов... диалектика. В общем так - прижмет - решим... ну как всегда.

	MMV - mmv-ruyandex.ru.STOP 1 Jun 2001 4:48 PM
2 Валерий П Точно. На то и вирусы, чтоб разработчики ОС не зевали. 2 R2D2 Чем это интересно проверка пермишенов на АППАРАТНОМ уровне, ПРИНЦИПИАЛЬНО отличается от програмной? Апаратная поддержка защиты конечно нужна, необходимые мехнизмы существуют с 386 процессора. Принципиальная разница между апаратурой и программой помоему в том что апаратуру нельзя позже заменить, соответственно проектироватся апаратура должна дольше и более тщательно. А программу можно заменить, что позволяет исправлять ошибки в уже выпущеном продукте. А дыры вполне могут быть и в аппаратуре, точно также как и в софте.

	MMV - mmv-ruyandex.ru.STOP 1 Jun 2001 4:59 PM
А боротся с вирусами с омощю эвристического распознвания образов. Тоже самое что боротся с преступностью на основе генного анализа ;-) Зашищенной должна быть архитектура системы, система разграничения прав, не только для поьзователей но и для приложений, с нормаьными пресетами. тогда и вирусов будет меньше.

	Dmitriy 2 Jun 2001 12:42 AM
2rGlory Берем фотографию в стиле ню. С помощью фильтров и преобразований убираем шум, цвет, и т.д. на выходе оставляем только границы в два цвета. Строим "хребтовой" вектор всех объектов, оставляем самый большой. Прогоняем по базе эталонов. Если совпадает на 65-70% это она:) По распознаванию образов есть куча учебников:))

	rGlory 2 Jun 2001 7:35 AM
2Dmitriy Это не ко мне. Эти песни для менеджеров.

	gs 7 Jun 2001 7:44 PM
Соберите вместе несколько человек и покажите им сомнительную фотку - то, что студенту ежедневная практика, среднего пенсионера повергнет в ужас. Какое там распознавание порнухи, судьи кто?

	DP 9 Jun 2001 10:55 PM
К вопросу о различии аппаратного и софтверного уровней. Могу подсказать аналогию - есть дыра в стене и чтобы закрыть ее можно использовать: а) человека(можно обмануть, опоить, отрубить и т.д.); б) дверь(выбить или подобрать ключи) Так вот человечество уже несколько тыс. лет двери использует. А вообще если всякие эврист. технологии применять, то скоро нужно будет второй проц ставить. Спец. для антивира.

	Злая 8 Jul 2001 3:58 PM
А я помниться ещё года два назад нашла способ эвристику веба послать, ещё когда первый вирус писала. До сих пор эвристический анализ НЕ НАХОДИТ мой код. И это без полиморфизма и стелса

	Bad_boy 22 Aug 2001 3:18 PM
2 Злая То есть твой вирус до сих пор "непобедимый"?

	Ales 23 Aug 2001 10:53 AM
2 Злая Похоже что у тебя вирус в стиле неуловимого Джо - нафиг никого не интересует. Что он плохого сделал что бы его в БД вирусов обавили? ;)

	Чайник 29 Aug 2001 9:08 PM
Нет уж, спасибо. Я поставил было Office 2000, посмотрел на него, схватился за голову... Потом снёс его и вернул 97-й. Это же надо было додуматься до такой тупости, чтобы каждое окно с загруженным документом в Word-е показывать внизу на панели задач как отдельную задачу ! Допустим, раньше я работал с трёмя документами, один из них в активном окне Word-а. Потом переключаюсь в другое приложение, потом обратно в Word и сразу же оказываюсь в своём активном документе. А в Word2000? Переключился в другое приложение, а потом ищи куда назад вернутся. Нет уж, я пока с Office 97 поработаю.

← апрель 2001

21 22 23 24 25 28 29 30 31

июнь 2001 →