ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 정보보호개론 - 바이러스에 대하여
      보안/정보보호개론 2021. 3. 25. 23:11

      바이러스란?

      가장 기본적인 형태의 악성 코드로 사용자 컴퓨터(네트워크로 공유된 컴퓨터 포함)에서 프로그램이나 실행 가능한 부분을 몰래 수정하여 자신 또는 자신의 변형을 복사하는 것으로 전파가 없는게 특징이다.

       

      1세대 원시형 바이러스

      원시형 바이러스

      처음 컴퓨터 바이러스가 등장한 시점의 가장 원시적인 형태로, 단순하게 자기 복제 기능과 데이터 파괴 기능만을 가진다.

       

      부트 바이러스

      플로피디스크나 하드디스크의 부트 섹터에 감염되는 바이러스, MBR과 함께 PC 메모리에 저장되어 부팅 시 자동으로 동작하여 부팅 후에 사용되는 모든 프로그램을 감염시킨다

      (부트 바이러스를 이해하려면 컴퓨터의 부팅 순서를 알아야한다)

       

      부팅 순서

      1단계 : POST

      • 운영체제를 설치할 때 하드웨어 자체가 시스템에 문제가 없는지 기본 사항을 스스로 확인하는 POST(Power On Self Test) 과정을 항상 거친다.
      • POST는 BIOS에 의해 실행, 문제가 발견되면 경고음 등으로 알려준다.

      2단계 : CMOS

      • Complementary Metal-Oxide Semiconductor 에서 기본 장치 설정과 부팅 순서를 정할 수 있으며 이러한 기본 설정 사항을 BIOS가 읽어 시스템에 적용함

      3단계 : 운영체제 위치 정보 로드

      • 윈도우 2003 이전 버전 : 마스터 부트 레코드 정보를 읽는 단계
      • 윈도우 2008 이후 버전 : 윈도우 부트 매니저가 실행되는 단계

      부트바이러스는 3단계에서 동작한다.

      부트바이러스에 감염된 플로피디시크로 운영체제를 구동하면 바이러스가 MBR과 함께 PC 메모리에 저장되고

      부팅 후에 사용되는 모든 프로그램에 자신을 감염시킨다. 브레인, 몽키, 미켈란젤로 바이러스 등이 있다.

       

      파일 바이러스

      파일을 직접 감염시켜 바이러스 코드를 실행시키는 것으로 하드디스크 부팅이 일반화 되면서

      부트 바이러스의 대안으로 등장한 것이다. COM, EXE와 같은 실행 파일과 오버레이 파일, 디바이스 드라이버 등에 감염되며 전체 바이러스의 80%이상을 차지한다.

      프로그램을 덮어쓰는 경우, 프로그램 앞부분에 실행 코드를 붙이는 경우, 프로그램 뒷부분에 바이러스 코드를 붙이는 경우가 있다.

      파일 바이러스의 감염 위치

      바이러스가 프로그램 뒷부분에 위치하는 것은 백신의 바이러스 스캔으로부터 자신의 존재를 숨기기 위함이다.

       

       

      2세대 암호형 바이러스

      암호형 바이러스는 바이러스 코드를 쉽게 파악하여 제고할 수 없도록 암호화한 바이러스이다.

      암호화된 바이러스 코드

      바이러스 동작 시 메모리에 올라오는 과정에서 암호화가 풀리므로

      백신은 이를 이용하여 메모리에 실행되어 올라온 바이러스와 감염 파일을 분석하고 치료한다.

      슬로, 캐스케이드, 원더러, 버글러 등이 있다.

       

       

      3세대 은폐형 바이러스

      바이러스에 감염된 파일이 일정 기간 잠복기를 가지도록 만든 것으로 바이러스가 확산되기도 전에 활동하기 시작하면

      다른 시스템에 전파되기 힘들기 때문이다. 브레인, 조시, 512, 4096 바이러스 등이 있다.

       

       

      4세대 다형성 바이러스

      백신 프로그램은 바이러스 파일 안의 특정한 식별자로 바이러스 감염 여부를 판단하는데 이 기능을 우회하기 위해 사용하는 것이 다형성 바이러스이다.

      코드 조합을 다양하게 할 수 있는 조합프로그램을 암호형 바이러스에 덧붙여 감염시키므로 프로그램이 실행될 때마다 바이러스 코드 자체를 변경하여 식별자를 구분하기 어렵게 하는것이 특징이다.

      (제작하기도 어렵고 진단하기도 어려운편!!!)

       

      다형성 바이러스

       

       

      5세대 매크로 바이러스

      MS 오피스 프로그램의 매크로 기능으로 감염되는 바이러스를 매크로 바이러스라고 하는데 비주얼 베이직 스크립트(VBS)로 많이 제작된다. (바이러스에 대한 인식을 바꾼 큰 바이러스!!!)

      워드 컨셉, 와쭈, 엑셀-라룩스, 멜리사 바이러스 등이 있다.

      매크로 바이러스의 주요 증상은?

      • 문서가 정상적으로 열리지 않거나 암호가 설정되어 있음
      • 문서 내용에 깨진 글자나 이상한 문구가 포함되어 있음
      • 매크로 메뉴가 실행할 수 없게 잠겨 있음
      • 엑셀이나 워드 작업 중 VB(Visual Basic)편집기의 디버그 모드가 실행됨

       

      차세대 바이러스

      스크립트 형태의 바이러스가 더욱 활성화되어 네트워크와 메일을 이용하여 전파된다. (XSS)

      단순히 데이터를 파괴하고 다른 파일을 감염시키는것에서 나아가 사용자 정보를 빼내거나 시스템 장악을 위한 백도어 기능을 가진 웜의 형태로 진화하였다.

      저작자표시 (새창열림)

      '보안 > 정보보호개론' 카테고리의 다른 글

      정보보호개론 - 트로이목마  (0) 2021.03.29
      정보보호개론 - 웜에 대하여  (0) 2021.03.25
      정보보호개론 - 응용프로그램과 네트워크 로그 관리  (0) 2021.03.04
      정보보호개론 - 데이터베이스의 로그 관리  (0) 2021.03.04
      정보보호 개론 - 운영체제의 로그 관리  (0) 2021.03.04

      관련글 관련글 더보기

      댓글

    티스토리툴바