컴퓨터 바이러스의 분류 및 식별 방법

최초의 바이러스가 출현한 이후 세상에 얼마나 많은 바이러스가 있는지에 대해서는 의견이 분분하다. 바이러스의 수가 아무리 많아도 바이러스의 수는 계속 증가합니다. 외국 통계에 따르면 컴퓨터 바이러스의 수가 매주 10개씩 증가하고 있습니다. 우리나라 공안부의 통계에 따르면 컴퓨터 바이러스의 개수는 한 달에 4~6개씩 증가하고 있습니다. 중국. 그러나 Sun Wukong이 아무리 강력하더라도 그는 여래 부처님의 손바닥에서 벗어날 수 없습니다. 바이러스가 아무리 많아도 다음 유형에서는 벗어날 수 없습니다. 바이러스는 더 잘 이해할 수 있도록 분류됩니다.

컴퓨터 바이러스의 특성과 특성에 따라 컴퓨터 바이러스를 분류하는 방법에는 여러 가지가 있습니다. 따라서 동일한 바이러스라도 다양한 방식으로 분류될 수 있습니다.

1. 컴퓨터 바이러스 공격에 따른 시스템 분류

(1) DOS 시스템을 공격하는 바이러스. 이런 종류의 바이러스는 가장 먼저 나타나며, 가장 많고, 가장 많은 변종을 가지고 있습니다. 현재 우리나라에 나타나는 컴퓨터 바이러스는 기본적으로 이 종류의 바이러스가 99%를 차지합니다. 전체 바이러스 수 중.

(2) Windows 시스템을 공격하는 바이러스. Windows의 그래픽 사용자 인터페이스(GUI)와 멀티 태스킹 운영 체제는 사용자들 사이에서 매우 인기가 높기 때문에 Windows

는 점차 DOS를 대체하여 바이러스 공격의 주요 대상이 되고 있습니다. 지금까지 컴퓨터 하드웨어를 손상시키는 것으로 발견된 최초의 CIH 바이러스는 Windows95/98 바이러스입니다.

(3) UNIX 시스템을 공격하는 바이러스. 현재 UNIX 시스템이 널리 사용되고 있으며 많은 대형 운영 체제가 UNIX를 주요 운영 체제로 사용하고 있습니다. 따라서 UNIX 바이러스의 출현은 인간의 정보 처리에 심각한 위협이 되기도 합니다.

(4) OS/2 시스템을 공격하는 바이러스. OS/2 시스템을 공격하는 세계 최초의 바이러스가 발견되었습니다. 비록 단순하지만 불길한 징조이기도 합니다.

2. 바이러스 공격 유형에 따른 분류

(1) 마이크로컴퓨터를 공격하는 바이러스. 이것은 세계에서 가장 널리 퍼진 바이러스입니다.

(2) 미니컴퓨터를 공격하는 컴퓨터 바이러스. 미니컴퓨터의 적용 범위는 매우 넓습니다. 네트워크의 노드 머신으로 사용될 수도 있고 소규모 컴퓨터 네트워크의 호스트로 사용될 수도 있습니다. 처음에 사람들은 컴퓨터 바이러스가 마이크로컴퓨터에서만 발생하고 미니컴퓨터는 바이러스에 영향을 받지 않을 것이라고 생각했습니다. 그러나 1988년 11월 인터넷망이 웜 프로그램의 공격을 받은 이후로 사람들은 미니컴퓨터도 컴퓨터에 면역되지 않는다는 사실을 깨달았습니다. 바이러스.

(3) 워크스테이션을 공격하는 컴퓨터 바이러스. 최근 몇 년 동안 컴퓨터 워크스테이션은 큰 발전을 이루었고 응용 범위도 크게 발전했습니다. 따라서 컴퓨터 워크스테이션을 공격하는 바이러스의 출현도 정보 시스템에 큰 위협이 된다는 것을 상상하는 것은 어렵지 않습니다.

3． 컴퓨터 바이러스의 링크 방식에 따른 분류

컴퓨터 바이러스 자체가 컴퓨터 시스템을 공격하기 위해서는 공격 대상이 있어야 하므로, 컴퓨터 바이러스 공격 대상은 컴퓨터 시스템의 실행 파일이다

p>

줄 부분.

(1) 소스 코드 바이러스

이 바이러스는 고급 언어로 작성된 프로그램보다 먼저 원본 프로그램에 삽입됩니다.

프로그램의 일부로 컴파일되고 합법적이 됩니다.

(2) 내장형 바이러스

이런 종류의 바이러스는 기존 프로그램에 자신을 내장시켜 컴퓨터 바이러스의 주요 프로그램과 공격 대상을 삽입 방식으로 연결합니다. 이런 종류의 컴퓨터 바이러스는

작성하기 어렵고 일단 프로그램 본체에 침입하면 제거하기 어렵습니다. 다형성 바이러스 기술, 슈퍼 바이러스 기술, 은밀한 바이러스 기술이 동시에 사용된다면 현재의 안티 바이러스 기술에 심각한 도전을 가져올 것입니다.

(3) 쉘 바이러스

쉘 바이러스는 메인 프로그램 주변을 둘러싸고 있으며 원본 프로그램을 수정하지 않습니다. 이런 종류의 바이러스는 가장 흔하고, 작성도 쉽고, 찾기도 쉽습니다.

일반적으로 테스트 파일의 크기를 알 수 있습니다.

(4) 운영체제 유형 바이러스

이런 종류의 바이러스는 자체 프로그램을 사용하여 운영체제의 일부를 결합하거나 교체하는 강력한 파괴력을 갖고 있으며 전체 시스템을 손상시킬 수 있다. 마비의 오작동.

닷 바이러스와 마리화나 바이러스는 대표적인 운영체제 바이러스다.

이 바이러스가 실행되면 바이러스 자체의 특성과 교체된 운영체제의 특성에 따라 운영체제의 합법적인 프로그램 모듈을 자체 논리 부분으로 교체합니다.

합법적인 프로그램 모듈은 운영 체제에서 실행되는 상태와 역할, 그리고 바이러스가 운영 체제를 대체하는 방식은 운영 체제를 손상시킬 수 있습니다.

4. 컴퓨터 바이러스로 인한 피해에 따른 분류

컴퓨터 바이러스는 피해에 따라 두 가지 범주로 나눌 수 있습니다.

(1) 양성 컴퓨터 바이러스

양성 바이러스는 컴퓨터 시스템에 즉각적이고 직접적인 피해를 주는 코드를 포함하지 않습니다. 이러한 유형의 바이러스는 자신의 존재를 보여주기 위해 컴퓨터의 데이터를 파괴하지 않고 한 컴퓨터에서 다른 컴퓨터로 계속 확산됩니다.

어떤 사람들은 이런 종류의 컴퓨터 바이러스 감염을 심각하게 받아들이지 않고 단지 장난일 뿐이고 그것과 아무 관련이 없다고 생각합니다. 사실 양성과 악성은 상대적인 용어입니다. 양성 바이러스가 시스템을 제어하면 전체 시스템의 운영 효율성이 저하됩니다.

시스템에서 사용 가능한 총 메모리 양이 줄어들어 일부 응용 프로그램을 실행할 수 없게 됩니다. 또한 CPU 제어를 위해 운영 체제 및 응용 프로그램과 경쟁하여 전체 시스템이 교착 상태에 빠지고 정상적인 작동에 문제를 일으키는 경우가 많습니다. 때로는 시스템에 여러 바이러스가 교차 감염되어 파일이 여러 바이러스에 반복적으로 감염되는 경우가 있습니다.

예를 들어 원래 10KB에 불과했던 파일이 여러 바이러스에 수십 차례 반복적으로 감염되면서 90KB 정도가 됐다. 이는 귀중한 디스크 저장 공간을 많이 소모할 뿐만 아니라

기생하는 다양한 바이러스로 인해 전체 컴퓨터 시스템이 제대로 작동할 수 없게 됩니다. 따라서 소위 양성 바이러스가 컴퓨터 시스템에 미치는 피해는 과소평가될 수 없습니다.

(2) 악성 컴퓨터 바이러스

악성 바이러스는 해당 코드에 포함된 컴퓨터 시스템을 손상시키고 파괴하는 작업을 의미합니다. 시스템.

미켈란젤로 바이러스 등 이런 바이러스도 많다. 미카엘리스 바이러스가 공격을 하게 되면 하드디스크의 처음 17개 섹터가 완전히 파괴되어 하드디스크 전체의 데이터를 복구하는 것이 불가능하게 되며, 이로 인한 피해는 복구가 불가능합니다. 일부 바이러스는 하드 드라이브 포맷과 같은 손상을 일으킬 수도 있습니다. 이러한 운영 코드는 바이러스의 성격 중 일부인 의도적으로 바이러스에 기록됩니다. 따라서 이러한 유형의 악성 바이러스는 매우 위험하므로 예방 조치를 취해야 합니다. 다행스럽게도 안티 바이러스 시스템은 시스템 내의 비정상적인 활동을 모니터링하여 컴퓨터 바이러스의 존재를 식별하거나 최소한 사용자에게 경고를 보낼 수 있습니다.

5. 컴퓨터 바이러스는 기생하는 부분이나 감염 개체에 따라 분류됩니다.

감염성은 컴퓨터 바이러스의 본질적 특성입니다. 즉, 컴퓨터 바이러스가 감염되는 방식에 따라 분류됩니다. 전송되는 바이러스는 다음과 같습니다.

여러 유형:

(1) 디스크 부트 섹터에서 전송되는 컴퓨터 바이러스

디스크 부트 섹터에서 전송되는 바이러스는 주로 대체됩니다. 바이러스 논리의 전부 또는 일부를 포함하는 일반 부트 레코드를 디스크의 다른 위치에 숨깁니다. 부트 섹터는 디스크를 정상적으로 사용하기 위한 전제 조건이므로 이 바이러스는 작업 시작(예: 시스템 시작) 시 제어권을 얻을 수 있으며 전염성이 높습니다. 디스크의 부트 영역에는 사용해야 할 중요한 정보가 저장되어 있으므로, 디스크에서 제거되는 일반 부트 레코드를 보호하지 않으면 동작 중에 부트 레코드가 손상될 수 있습니다. . 부트 영역에는 감염되는 컴퓨터 바이러스가 많이 있습니다. 예를 들어 "마리화나" 및 "볼" 바이러스가 그러한 바이러스입니다.

(2) 운영 체제에 의해 전송되는 컴퓨터 바이러스

운영 체제는 컴퓨터 시스템이 실행될 수 있도록 지원하는 환경을 포함합니다. COM,. EXE 및 기타 여러 실행 프로그램 및 프로그램 모듈.

운영체제에 의해 감염되는 컴퓨터 바이러스

는 운영체제에서 제공하는 일부 프로그램과 프로그램 모듈을 이용하여 기생하여 감염된다. 일반적으로 이러한 유형의 바이러스는 운영 체제의 일부입니다. 컴퓨터가 작동하기 시작하면 언제든지 바이러스가 실행되는 상태입니다. 운영 체제의 개방성과 불완전성은 이러한 바이러스의 출현과 감염성을 촉진합니다. 운영 체제를 통해 전송되는 바이러스는 이제 널리 퍼져 있으며 "블랙 프라이데이"도 그러한 바이러스 중 하나입니다.

(3) 실행 프로그램을 통해 전송되는 컴퓨터 바이러스

실행 프로그램을 통해 전송되는 바이러스는 일반적으로 프로그램이 실행되면 해당 프로그램이 먼저 활성화됩니다. 실행되고

메모리에 상주하게 되며 감염을 위한 트리거 조건이 설정됩니다.

위의 세 가지 유형의 바이러스는 실제로 두 가지 범주로 분류될 수 있습니다. 하나는 부트 섹터 유형의 컴퓨터 바이러스이고 다른 하나는 실행 파일입니다.

감염성 컴퓨터 바이러스입니다.

6. 컴퓨터 바이러스의 활성화 시기에 따른 분류

컴퓨터 바이러스는 활성화 시기에 따라 예약 바이러스와 무작위 바이러스로 나눌 수 있습니다.

Timed 바이러스는 특정 시간에만 공격하는 반면, Random 바이러스는 일반적으로 시계에 따라 활성화되지 않습니다.

7. 전송 매체에 따른 분류

컴퓨터 바이러스는 전송 매체에 따라 분류되며 독립형 바이러스와 네트워크 바이러스로 나눌 수 있습니다.

(1) 독립형 바이러스

독립형 바이러스의 운반체는 디스크입니다. 플로피 디스크에서 하드 디스크로 바이러스가 전염되어 시스템을 감염시키는 것이 일반적입니다. , 그런 다음 다른 플로피 디스크를 감염시키고, 플로피 디스크는 차례로 다른 시스템을 감염시킵니다.

(2) 네트워크 바이러스

네트워크 바이러스의 전송 매체는 더 이상 이동통신사가 아니라 네트워크 채널입니다. 이러한 종류의 바이러스는 전염성이 강하고 파괴적입니다.

8. 기생충 형태와 감염 경로에 따른 분류

사람들은 컴퓨터 바이러스를 기생충 형태와 감염 경로에 따라 분류하는 데 익숙합니다. 컴퓨터 바이러스는 기생 방법에 따라 크게 두 가지 범주로 나눌 수 있습니다. 하나는 부트 바이러스이고 다른 하나는 감염 경로에 따라 메모리 상주 바이러스와 비상주 바이러스로 나눌 수 있습니다. 상주 메모리 유형은 메모리에 상주하는 방식에 따라 세분화될 수 있습니다.

하이브리드 바이러스는 부트형 바이러스와 파일형 바이러스의 특성을 결합한 바이러스입니다.

부트 유형 바이러스는 디스크의 부트 섹터(BOOT SECTOR) 내용을 다시 쓰며(일반적으로 "감염"이라고 함) 플로피 디스크나 하드 디스크를 감염시킬 수 있습니다.

바이러스. 그렇지 않으면 하드디스크에 파티션 테이블(FAT)을 다시 쓰는 것입니다. 바이러스에 감염된 플로피 디스크를 사용하여 부팅하면 하드 디스크가 감염됩니다.

부트 바이러스는 ROM BIOS 이후 시스템을 부팅할 때 나타나는 바이러스로 운영체제보다 먼저 나타나며 BIOS 인터럽트 서비스 프로그램에 의존한다.

부트형 바이러스는 운영체제의 부트 모듈을 이용하여 고정된 위치에 배치하며, 동작보다는 물리적 주소를 기반으로 제어권을 넘겨받는다

의 내용 시스템 부트 영역은 시스템 부트 영역의 내용을 기반으로 하므로 바이러스는 이 물리적 위치를 점유하여 제어권을 얻을 수 있으며 실제 부트 영역 내용은 바이러스 프로그램이 실행된 후 이동되거나 교체됩니다. 전송 실제 부트 섹터 콘텐츠를 넘겨주면 바이러스 운반 시스템이 정상적으로 실행되는 것처럼 보이지만 바이러스는 감염 및 공격 기회를 기다리며 시스템에 숨어 있었습니다

.

일부 바이러스는 일정 기간 동안 휴면 상태로 있다가 공격하도록 설정된 날짜까지 기다립니다. 일부는 공격 중에 화면에 "공지" 또는 "경고" 메시지를 표시합니다. 이러한 메시지는 소프트웨어를 불법적으로 복제하지 말라는 의미일 뿐이거나, 특정 그래픽을 표시하거나, 음악을 재생해 주는 것일 뿐입니다.

... 바이러스 공격 후에는 파티션 테이블을 파괴하여 부팅을 불가능하게 하거나 하드 드라이브를 직접 포맷합니다. 또한

만큼 무자비하지 않고 하드 디스크 데이터를 파괴하지 않지만 잘못된 경보를 제공하기 위해 일부 "음향 및 조명 효과"만 생성하는 부트 바이러스의 "수단"도 있습니다.

부트형 바이러스는 거의 항상 메모리에 상주합니다. 유일한 차이점은 메모리 내 위치입니다. (소위 "상주"란 응용 프로그램이 실행될 부분의 메모리에 상주한다는 의미입니다.

이를 통해 실행하려고 할 때마다 하드 디스크를 검색할 필요가 없어 효율성이 향상됩니다.

부트 유형 바이러스는 기생충 대상에 따라 MBR(마스터 부트 섹터) 바이러스와 BR(부트 섹터) 바이러스의 두 가지 범주로 나눌 수 있습니다. MBR 바이러스는

파티션 바이러스라고도 합니다. 이 바이러스는 하드 디스크 파티션 마스터 부팅 프로그램이 차지하는 하드 디스크 0 헤드 0 실린더의 첫 번째 섹터에 기생합니다. 일반적인 바이러스에는 대마초(Stoned), 2

708 등이 포함됩니다. BR 바이러스는 하드 디스크의 논리 0 섹터나 플로피 디스크의 논리 0 섹터(즉, 0번째 면과 0번째 트랙의 첫 번째 섹터)에 바이러스를 기생시킵니다. 대표적인 바이러스로는 브레인바이러스, 볼바이러스 등이 있습니다.

파일형 바이러스는 이름에서 알 수 있듯이 주로 .COM, .EXE, OVL 등의 파일 확장자를 가진 실행 프로그램을 감염시킨다. 설치는 바이러스의 운반 프로그램에 의존해야 합니다. 즉, 파일 형식 바이러스를 메모리에 도입하려면 바이러스의 운반 프로그램을 실행해야 합니다. 바이러스에 감염된 파일은 실행 속도가 느려지거나 전혀 실행이 불가능할 수도 있습니다.

일부 파일은 감염된 후 실행 즉시 삭제됩니다. 대부분의 파일 바이러스는 자신의 프로그램 코드를 호스트의 시작이나 끝 부분에 복사합니다. 이로 인해 바이러스에 감염된 파일의 길이가 길어지지만 사용자는 DIR 명령을 사용하여 바이러스가 감염되기 전의 길이를 나열하지 못할 수도 있습니다. '피해자 파일'의 프로그램 코드를 직접 다시 쓰는 바이러스도 있기 때문에 바이러스가 감염된 후에도 파일 길이가 그대로 유지된다.

바이러스에 감염된 파일이 실행된 후 바이러스는 대개 다음 파일을 감염시킬 기회를 잡습니다. 보다 정교한 일부 바이러스는 감염되기 전에 감염될 때마다 새로운 호스트의 상태에 따라 새로운 바이러스 코드를 작성합니다

따라서 이 바이러스에는 고정된 바이러스 코드(바이러스 검사 소프트웨어)가 없습니다. 바이러스 코드를 스캔하여 바이러스를 탐지합니다. 이런 종류의 바이러스가 나타나면 쓸모가 없습니다. 그러나 바이러스 기술의 발전과 함께 안티 바이러스 소프트웨어도 발전해 이제는 이런 종류의 바이러스에 효과적인 방법이 생겼습니다.

대부분의 파일 기반 바이러스는 메모리에 상주합니다.

파일형 바이러스는 소스코드 바이러스, 내장형 바이러스, 쉘형 바이러스로 구분됩니다. 소스 코드 바이러스는 고급 언어로 작성되어 어셈블리 및 링크 없이는 전송될 수 없습니다.

임베디드 바이러스는 프로그램 중간에 내장되어 있으며 dBASE 바이러스와 같은 특정 프로그램만을 대상으로 할 수 있습니다. 이 두 가지 유형의 바이러스는 환경 제한으로 인해 여전히

드물습니다. 현재 유행하는 파일형 바이러스는 거의 모든 쉘형 바이러스이다. 이러한 종류의 바이러스는 호스트 프로그램 앞이나 뒤에 기생하며 프로그램의 첫 번째 실행 명령을 수정하여 호스트 프로그램보다 먼저 실행되도록 하여 감염이 확산된다. 호스트 프로그램을 사용하여.

파일 셸형 바이러스는 메모리 상주형에 따라 고급 상주형, 기존 상주형, 메모리 제어 체인 상주형, 장치 프로그램 패치 상주형, 비상주형으로 나눌 수 있습니다.

p>

상주 메모리 유형입니다.

하이브리드 바이러스는 시스템형 바이러스와 파일형 바이러스의 특성을 결합해 시스템형, 파일형 바이러스보다 '기질'이 더 '잔인하다'. 이런 바이러스는 이 두 가지 방법을 통해 감염되는데, 이로 인해 바이러스의 감염력과 생존율이 높아진다. 어떤 방식으로 감염되더라도 감염되기만 하면 부팅이나 프로그램 실행을 통해 다른 디스크나 파일을 감염시키게 되는 바이러스이기도 합니다.

부트 유형 바이러스는 파일 유형 바이러스보다 더 파괴적이지만 그 수가 더 적습니다. 1990년대 중반까지 파일 유형 바이러스는 여전히 가장 인기 있는 바이러스였습니다. 하지만

최근에는 상황이 바뀌었습니다. 미국컴퓨터보안협회(National Computer Security Association)의 통계에 따르면 이 '떠오르는 별'은 전체 바이러스의 80% 이상을 차지했습니다.

. 또한, 매크로 바이러스는 다양한 변형된 돌연변이 바이러스를 파생시킬 수도 있습니다. 이러한 "아버지는 아들을 낳고, 아들은 손자를 낳는" 전파 방식은 많은 시스템을 방어하기 어렵게 만듭니다.

이로 인해 매크로 바이러스도 컴퓨터 시스템에 위협이 됩니다. . 최고의 킬러."

Microsoft Word 워드 프로세싱 소프트웨어의 광범위한 사용과 컴퓨터 네트워크, 특히 인터넷의 대중화로 인해 바이러스 계열의 새로운 구성원이 등장했습니다.

이것이 바로 매크로 바이러스입니다. .

매크로 바이러스는 문서나 템플릿의 매크로에 상주하는 컴퓨터 바이러스입니다. 이러한 문서가 열리면 매크로 바이러스가 활성화되어 컴퓨터로 전송되고 일반 템플릿에 상주합니다. 이제부터 자동으로 저장된 모든 문서는 매크로 바이러스에 "감염"되며, 다른 사용자가

감염된 문서를 열면 매크로 바이러스가 자신의 컴퓨터로 옮겨지게 됩니다.