자료저장 8

a>또는 c> 에서 debug

-l100 0 0 1

-d ....4.Eh3.....

-d

-d .. vires pr

ogram message

Njh to LBC

이렇게 해보면 좌측 텍스트부근에 위와 같이 ...Eh.... 문자가 나타나면

감염된 것임.

(원래는 ms-dos로 나타나거나 pctools등 포멧한 유틸리티명이 나타남)

나. Utility 이용 (PCTOOLS, NORTON, MACE)

View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가

나타나면 바이러스에 감염된 것임.

다. 검진 프로그램 이용

- ViruScan V61+ 이후 버젼

- V2PLUS 혹은 V3

5. 복구방법

가. 감염된 Diskette 복구방법

1). 감염되지 않는 디스켓을 a:드라이브에 넣고 boot하거나 C:드라이브

에서 Boot 한다.

2). b:드라이브에 새로운 디스켓을 넣고 format 한다음 a:드라이브에

감염된 디스켓을 넣고 file copy를 하면 복구 됨.

(주의). diskcopy는 절대 사용치 말것.

3). 카피한 다음에는 바로 프로텍트를 붙일것.

나. Hard Disk 복구방법

1). Master Boot Sector 복구

-. A: 드라이브로 부팅 (감염되지 않은 DOS)

-. DOS의 FDISK 명령어 수행

-. DOS 파티션을 부트용으로 하나 만듬

-. A: 드라이브로 재 부팅 (감염되지 않은 DOS)

-. Disk Utility(Norton Utility)를 기동

-. 절대 섹타 카피

(실린드:0, 면:1, 섹타:3 ===> 실린드:0, 면:0, 섹타:1)

2). FAT 복구

= Disk Utility (Norton Utility 등)로 FAT에 바이러스가 복사해둔

프로그램 부분을 ??아 FAT 복사본을 Sector 단위로 그 위치에 복사.

- 즉 논리 Sector 59를 논리 Sector 18에 복사 (20M HDD 경우)

- 단, FAT 복사본도 같이 오염되어 있으면 오염된 2 Sector에 해당

되는 데이타는 복구할 방법이 없음.

- 거의 대부분을 회복시킬수 있으나 일부는 잃어 버릴 수도 있음.

다. 복구 프로그램 이용

V2plus, Killer, MDISK,

6. 예방대책

가. 디스켓에서 바이러스 검사후 미감염 디스켓은 write-protect

나. 외부로부터 온 디스크는 부트디스크로 사용하지 말 것

다. 하드디스크 사용자는 절대 A: 에서 부트하지 말 것

라. 게임 디스크는 거의 감염된 것으로 생각하고 대처할 것

7. 변종

가. 증상 및 특징

1). 기억 장소 3K 감소

2). 디스켓 끝에 한개의 불량 클러스터 만듬

3). 일정 시간 메세지 출력

4). 메세지가 변경됨

나. 종류

1). LBC II

5-1-8 Stoned Virus |

Stoned-B, Stoned-C, Stoned-D, Stoned II 등으로 변종이 생겼다.

(별칭 : Hawaii, Marijuana, New Zealand, San Diego, Smithsonian)|

1988년 2월, New Zealand 에서 발견되었다.

1. 특징

가. Diskette 일 경우 : 0 섹터의 내용이 tr:0 he:1 Se:3 에 복사되어 있음

나. Hard 일 경우 : 0 섹터의 내용이 tr:0 he:0 Se:7 에 복사되어 있음

다. Stoned Virus 자신이 0 섹터에 들어 있음

라. 메모리 크기를 2 K 감소

마. 원종 Stoned는 360K 5 4/1" 디스켓 만 감염시키고 명백한 피해도 없음

2. 감염경로

가. 감염된 디스크로 부팅하면 바이러스 프로그램이 메모리에 상주

나. 상주후 INT 13H 번 가로채고 Access하는 디스켓을 감염시킴

3. 감염증상

가. 매 8회 시스템 부팅중 한번은 다음 메세지를 화면에 표시

"Your computer is now stoned. Legalize Marijuana"

나. 디스크 입출력 속도가 현저하게 느려짐

다. 디스켓일 경우

- 0 섹터의 내용이 ROOT DIR 부분(tr:0 he:1 Se:3)에 복사되어 있어

치명적인 데이타 손실은 없음

라. 하드 디스크일 경우

- 0 섹터의 내용이 FAT 부분(tr:0 he:0 Se:7)에 복사되어 있어 1 섹타

분의 데이타 손실

- 손실된 부분의 데이타를 읽을때 에러 발생

4. 감염여부검진

가. Debug 이용

a>또는 c> 에서 debug

-l100 0 0 1

-d ................

-d

-d .3........Your P

is now Stoned!

.....LEGALISE MA

RIJUANA

이렇게 해보면 우측 텍스트부근에 위와 같은 문자가 나타나면 감염된 것임.

(원래는 MS-DOS로 나타나거나 PCTOOLS등 포멧한 유틸리티명이 나타남)

나. Utility 이용 (PCTOOLS, NORTON, MACE)

View Edit 기능으로 들어가 Boot Sector에서 Debug 에서와 같은 메세지가

나타나면 바이러스에 감염된 것임.

다. 검진 프로그램 이용

- ViruScan, CleanUp, F-Prot, IBM Scan, Pro-Scan, VirexPC, AVTK 3.5+

- V2plus, V3

5. 복구방법

가. 감염된 Diskette 복구방법

1). 감염되지 않는 디스켓을 a:드라이브에 넣고 boot하거나 C:드라이브에서

Boot 한다.

2). b:드라이브에 새로운 디스켓을 넣고 format 한다음 a:드라이브에 감염된

디스켓을 넣고 file copy를 하면 복구 됨.

(주의). diskcopy는 절대 사용하지말것 dos부분까지 카피되기때문에

3). 카피한 다음에는 바로 프로텍트를 붙일것.

나. Hard Disk 복구방법

1). Master Boot Sector 복구

-.Disk Utility(Norton Utility)를 기동

-.절대 섹타 카피

(실린드:0, 면:0, 섹타:7 ===> 실린드:0, 면:0, 섹타:1)

2). FAT 복구

-.Disk Utility (pctools, Norton 등)로 FAT에 바이러스가 복사해 둔

프로그램 부분을 ??아 FAT 복사본을 Sector 단위로 그 위치에 복사.

- 즉 논리 Sector 46를 논리 Sector 5 에 복사 (20M 하드 디스크 경우)

- 단, FAT 복사본도 같이 오염되어 있으면 오염된 2 Sector에 해당되는

데이타는 복구할 방법이 없음.

- 거의 대부분을 회복시킬수 있으나 일부는 잃어 버릴 수도 있음.

다. 복구 프로그램 이용

- CleanUp, MDisk, F-Prot, Pro-Scan 1.4+, DOS SYS command

- V2plus, V3

6. 예방대책

가. 디스크의 Virus 검사후 미감염 디스크에는 write-protect

나. 외부로터 온 디스크는 부트디스크로 사용하지 말 것

다. 하드디스크 사용자는 절대 A: 에서 부트하지 말 것

라. 게임 디스크는 거의 감염된 것으로 생각하고 대처할 것

7. 변종

가. 증상 및 특징

-.하드 디스크를 감염시키는 2가지 변종이 있음

-.메세지가 변경되거나 삭제됨

-.고밀도 디스켓을 감염시킴

나. 종류

1). Stoned-B

-.Stoned 바이러스와 같으나 다음 내용이 다름

-.partition table을 통해 하드 디스크를 감염시킴

-.RLL controller가 설치된 시스템이 감염되면 자주 시스템 명령

대기 상태가 됨

2). Stoned-C

-.Stoned 바이러스와 같으나 다음 내용이 다름

-.화면에 표시되는 메세지가 삭제됨

3). Stoned-D

-.Stoned 바이러스와 같으나 다음 내용이 다름

-.3.5" 및 5.25" 고밀도 디스켓을 감염시킴

4). Stoned II

-.Stoned 바이러스와 같으나 다음 내용이 다름

-.백신 프로그램에 의한 검진이 쉽게 되지 않도록 수정됨

-.감염된 디스켓의 끝부분에 위치한 메세지가 다음과 같이 변경됨

"Your PC is now Stoned! Version 2"

혹은 "Donald Duck is a lie."

-.변종 중 메세지가 완전히 삭제된 것도 있음

-.메세지의 "Version 2" 부분은 복제시 파괴될 수 있음

-.이 바이러스의 감염 방법 Stoned 바이러스와 같음

-.바이러스 상주후 재 부팅시 random 하게 메세지 출력

-.하드 디스크의 partition table에 감염됨

-.때때로 partition table 및 데이타가 파괴되는 경우가 있음

오늘 7회 강좌는 여기서 마칩니다. 이제 강좌는 빨리 빨리 진행시키겠습니다.

해킹 강좌 8

안녕하세요. 8번째 강좌입니다.

백신 프로그램과 기존의 트로이 목마 바이러스에 대해 이야기 하겠습니다.

그리고 유명 바이러스에 대한 고찰을 하겠습니다.

5-2 백신 프로그램 소개

Dr.Panda

이 프로그램은 컴퓨터 바이러스, 벌레, 트로이 목마 프로그램를 찾아내기 위

한 여러가지 유틸리티가 들어 있는 패키지 프로그램이다.

+- Physical : 중요한 시스템 파일을 비교하고, 사용자가 지정한 중요파일을 비교

| 하여 변경이 있을 경우 이를 알려주는 유틸리티.

+- Labtest : 도스(DOS)를 경우하지 않는 프로그램 코드에 대한 경고 메세지를 내

| 고, 숨겨진 아스키(ASCII) 문자를 출력해주는 유틸리티.

+- Monitor : 디스크 입출력 행동을 감시하면서 포맷을 하거나 FAT를 손상시키려

고 할 때 이를 감지하여 알려주는 유틸리티.

Fichek

하드디스크를 모두 스캔(SCAN)하여 파일들의 날짜, 시간, 크기, 속성, 체크섬

들을 로그파일에 저장하여 둔다. 그래서 전의 로그파일과 비교해서 다른 점이

발견되다면 이는 파일에 변형이 가해졌다고 볼수 있다.

디스크 왓처(Disk Watcher)

램상주하여 각종 디스크의 입출력 행동을 감시하는 프로그램이다. 여러가지

바이러스나 그외 문제에 대한 분석에 유용한 기능을 제공하며 다른 램상주 프

로그램과 별로 충돌하지 않는다.

체크업(Checkup)

바이러스의 공격에 대한 방어책으로 체크섬을 하여주는 프로그램

블럭 체크섬(Block Checksum)이라는 특이한 체크섬으로 작동되기 때문에 발견

하기 어려운 바이러스의 감염도 감지할 수 있다.

디스크 디펜더(Disk Defender)

인터페이스 카드를 이용하여 디스크의 입출력을 체크하는 하드웨어이며, 이

카드에는 3개의 상태 표시등이 있어서 사용자에게 디스크 접근 상태를 보여준

다.

Data Physician

도스 시스템을 바이러스의 침입으로부터 막기 위한 여러개의 프로그램으로 구성되어 있는 패키지

프로그램.

+- Datamd : 바이러스의 방어 및 찾기, 제거용 프로그램

+- Padlock : 디스크의 쓰기를 제한하는 유틸리티

+- Novirus : 램상주하면서 Datamd가 작성한 데이타 파일을 이용하여 바이러스를

| 찾아내는 유틸리티

+- Antigen : 실행파일에 직접 바이러스 체크 프로그램을 인스톨하고 자체에 제거

| 능력이 있는 유틸리티

+- Viralert : 시스템과 실행파일을 변경하려고 할 때 이를 가로채서 알려주는 유

틸리티

Caware

Turbo-C를 이용하는 프로그래머에게 좋은 소프트웨어로 터보-C로 컴파일된 실

행 파일을 체크섬하여 변형여부를 검사하는 유틸리티.

Cop

Command Obfuscation Processor의 약자로 COM 파일을 암호화해서 변형을 막는 유틸리티이다.

C-4 Antivital Shield

램상주하여 작동하는 바이러스의 활동을 막아주는 상업용 백신 프로그램.

이외에 하드웨어적인 카드형의 안티-바이러스가 있다.