[컴퓨터보안] 정보보안 개론 chapter 06

1.바이러스와 웜의 차이점 ?

바이러스는 자신 or 자신의 변형을 복사하는 프로그램 임 , but 웜은 운영체제 or 응용프로그램의 취약점을

이용해서 인터넷 or 네트워크로 스스로 전파가 진행됨

 

바이러스 -  사용자의 컴퓨터 내에서 프로그램 이나 실행가능한 부분을 몰래 변경하여

                   자신 or 자신의 변형을 복사하는 프로그램

 

웜 - 인터넷 or 네트워크를 통해 컴퓨터에서 컴퓨터로 전달되는 악성 프로그램 

       윈도우 or 응용프로그램의 취약점 이용, 이메일 , 공유폴더로 전파 됨 

       바이러스와 다르게, 스스로 전파가 가능함 

 

2. 악성코드에 해당하지 않는 것 ?

  동작에 의한 악성코드 분류 - 바이러스 , 웜 ,트로이목마 , PUP

  목적에 의한 악성코드 분류 -다운로더, 드로퍼, 런처, 애드웨어, 스파이웨어 

 

트로이목마 - 바이러스와 웜처럼 직접적인 피해를 주진않음, BUT 공격자가 악의적으로 컴퓨터에

                     침투해서 컴퓨터를 조종하는 프로그램

                프로그래머의 실수 x , 고의적으로 만든 프로그램, 스스로 복사(바이러스)하거나 전파(웜)하지 않음.

 

PUP (Potentially unwanted program)- 해석하면, 잠재적으로 원하지 않는 프로그램 이란 뜻이다.

         직접적인 피해를 주지는 않지만, 불편함을 초래한다.

         광고가 포함된 프로그램, 웹사이트 바로가기 생성 프로그램 

 

다운로더 - 네트워크를 통해 어떤 데이터나 프로그램을 내려받는게 목적. 

드로퍼 - 내부에 존재하는 데이터로 새로운파일을 생성하여, 공격 하는 것이 목적. 

런처 - 다운로더와 드로퍼로 인해 생성된 파일을 실행하는 기능

애드웨어 -  광고가 포함된 소프트웨어, 

스파이웨어 - 개인이나 기업의 정보를 몰래 수집하여 다른곳에 보내는 것이 목적 

 

 

3. 시스템의 부팅순서로 알맞은 것?

  1세대 바이러스의 종류 

    - 원시 바이러스

    - 부트 바이러스

    - 파일 바이러스

 

 - 1세대 부트 바이러스를 이해하기 위해 필요한 것 .

 POST -> CMOS - > MBR로드 -> 운영체제 정보 로드

 

4. 부팅단계에서 부트바이러스가 감염되는 단계는 ?

부트 바이러스는 3단계(MBR로드)에서 동작
과거에 부트 바이러스에 감염된 플로피디스크로 운영체제를 구동하면 바이러스가

MBR과 함께 PC 메모리에 저장되어 부팅 후에 사용 되는 모든 프로그램을 감염시킨다.

 

 

5.파일 바이러스가 감염시키는 확장자는 ?

  파일을 직접 감염시켜 바이러스 코드를 실행 하는것.

  COM,EXE 와 같은 실행파일과 오버레이 파일로 감염시킴

   

2세대 바이러스 

  - 암호형 바이러스 => 바이러스 코드를 암호화 하여 쉽게 제거할수 없도록 암호화 시킴.

3세대 바이러스

 - 은폐형 바이러스 => 바이러스가 침투하면 일정기간 잠복기를 가지고 있는 것 .

4세대 바이러스

 -갑옷형(다형성) 바이러스 => 조합 프로그램을 바이러스에 덧붙혀서 파악하기 힘들게 함

5세대 바이러스

 - 매크로 바이러스 => MS프로그램 매크로 기능으로 감염 , 문서작업이 제한됨 

 

 

 

6. 파일바이러스의 실행순서 ?

프로그램 앞에서 바이러스가 위치한 주소 정보로 Jump 하여 바이러스를 실행하고, 그 후에  프로그램이 실행될 수 있게함.

 

7. 암호형 바이러스를 치료하는 방법?

 암호형 바이러스는 동작시에 메모리에 올라올 때 , 암호화가 제거되므로 그 순간에 메모리에 실행되어서 올라온 바이러스를 역으로 분석하여, 감염파일과 바이러스를 치료함 

 

8. 컴퓨터 바이러스에 대한 설명으로 옳은 것 ?

① 부트 바이러스란 플로피디스크나 하드디스크의 부트섹터를 감염시키는 

바이러스를 말한다. = > 바이러스가 MBR과 함께 메모리에 저장되어서, 그 후 실행되는 프로그램 감염 

② 파일 바이러스는 숙주 없이 독자적으로 자신을 복제하고 다른 시스템을 자동으로 감염시
켜 자료를 유출, 변조, 삭제하거나 시스템을 파괴한다. => 복제(X), 파일을 직접 감염시킴. 

③ 이메일 또는 프로그램 등의 숙주를 통해 전염되어 자료를 변조, 삭제하거나 

시스템을 파괴한다. (O)

④ 최근 들어 암호화 기법을 기반으로 구현된 코드를 감염 시 마다 변화시킴으로써 특징을 
찾기 어렵게 하는 다형성 (Polymorphic) 바이러스로 발전하고 있다.

=>  암호화는 2단계, 차세대는 네트워크와 메일을 이용해 전파, 백도어 기능을 가진 웜의 형태

 

9. 코드 조합을 다양하게 할 수 있는 조합 프로그램을 암호형 바이러스에 덧붙여 감염시키기 
때문에 프로그램이 실행될 때마다 바이러스 코드 자체를 변경시켜 식별자를 구분하기 어렵게 
하는 바이러스는 무엇인가?
① 암호형 바이러스 => 바이러스를 암호화 시킴

② 은폐형 바이러스 => 바이러스 의외의 프로그램으로 바이러스를 숨김
③ 다형성 바이러스 (O)

④ 매크로 바이러스 => 문서작업의 매크로 기능을 통해 감염 , 문서 작업 제한 

 

10. 매크로 바이러스의 공격 대상을 모두 고르시오.

① 웹 브라우저 ② HWP  ③ MS 워드 ④ MS 엑셀

=> 매크로 바이러스는 MS문서의 매크로 기능을 통해 작동함 .

 

11. 악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 것 같지만 사용자가 실행하면 
악성 코드를 실행하는 것은 무엇인가?
① 바이러스 => 파일을 복제하거나 파일을 감염시킴

② 트로이 목마 (O)

③ 스파이웨어 => 개인이나 기업의 정보를 다른곳으로 전송시키기 위한 목적 바이러스 

④ 자바스크립트 => JavaScript 

 

 

12. 다음 중 트로이 목마(Trojan)의 일반적인 특징 및 기능으로 옳지 않은 것은?
① 패스워드 가로채기 ② 악성코드 전파 ③ 파일 파괴 ④ 원격 조정

=> 트로이 목마는 악성코드 전파는 하지 않는다 . (프로그래머의 실수가 아닌, 악의적인 프로그램)

 

13. 다음 중 악성 코드를 탐지하기 위해 확인하는 사항에 속하지 않는 것은?
① 네트워크 상태 ② 프로세스 ③ 파일 ④ 디스크 상태 

 => 디스크의 상태는 악성코드 탐지와는 연관이 없다 .

 

악성코드 탐지 및 대응책 

 - 악성코드 탐지 툴로 악성코드 체크 

 - 네트워크 상태 점검

 - 정상적인 프로세스와 비교

 -  악성코드의 실제 파일 확인하기

 - 시작프로그램과 레지스트리 확인하기 

 - 악성코드 제거하기