2004-11-05
org.kosen.entty.User@598ca678
이강(yikang0)
- 1
Clam-AV의 바이러스 DB 화일의 format이 어떻게 되어있는지 궁금합니다. 더불어, 일잔적으로 바이러스 여부를 판단하기 위해서 바이러스 패턴을 어떻게 매칭하는지도 알고 싶습니다. 특정 패턴이 화일이나 스트림의 아무곳에서나 나타난다고 다 바이러스라고 할수는 없으니까요 (예컨대, 헤더에 나타난 경우만 바이러스라고 할수 있다든가의 예).
- 바이러스
- 패턴매칭
지식의 출발은 질문, 모든 지식의 완성은 답변!
각 분야 한인연구자와 현업 전문가분들의 답변을 기다립니다.
각 분야 한인연구자와 현업 전문가분들의 답변을 기다립니다.
답변 1
-
답변
운영자님의 답변
2004-11-17- 0
안철수연구소에 문의한 결과를 올려드립니다. 도움이 되면 좋겠네요. ----------------------------------------------------- 안녕하십니까 ? 안철수연구소 시큐리티대응센터(ASEC) 차민석 주임연구원입니다. Clam-AV는 공개용 백신 프로그램으로 알고 있습니다. Clam-AV의 바이러스 DB 파일을 확인하지 못해 못봤지만 최근의 백신은 보통 스트링과 CRC 값을 진단 문자열로 잡고 있습니다. 파일 유형을 파악 후 특정 위치에서 문자열이나 CRC를 이용해 진단합니다. 하지만, 하나의 문자열로 많은 변형을 잡거나 Heuristic 기법으로 진단하기 위해서 코드를 에뮬레이션 하는 경우도 있습니다. 진단 기법 자체는 각 업체마다 다르고 기밀 사항이라 정확히 알수 없고 알려드리기도 어렵습니다. 감사합니다.