S-DEV/Anti-Virus (4) 썸네일형 리스트형 Yara 프로젝트 • Yara 악성 파일을 시그니처 기반으로 판별 및 분류 할 수 있게 하는 툴로 Linux, Windows OS 에서 모두 사용이 가능 • Yara Rule https://github.com/Yara-Rules/rules GitHub - Yara-Rules/rules: Repository of yara rules Repository of yara rules. Contribute to Yara-Rules/rules development by creating an account on GitHub. github.com 1. 디렉터리에 있는 파일 불러오기 2. 파일 중 yar 확장자(yara Rule)만 불러온다. 3. 검사할 대상과 비교를 한다. 4. 시그니처가 yar 파일에 있는지 여부를 판단한다. Flex & bison • 실습 /* just like Unix wc */ %{ int chars=0; int words=0; int lines=0; %} %% /* 정규표현식을 이용한 파일내의 글자 갯수 확인 */ [a-zA-Z]+ { words++; chars += strlen(yytext); /* yytext는 앞의 패턴과 일치하는 문자열 */} \n { chars++; lines++; } . { chars++;} %% int main (int argc, char **argv){ yylex(); /* %%와 %%사이에 있는 패턴 규칙대로 매칭, 동작하는 함수 */ printf("%8d%8d%8d\n", lines, words, chars); return 0; } /* English -> American */ /* 구역 나.. Anti-Virus - 1 • X86 Platform 구성과 부팅 과정 1. X86 컴퓨터 하드웨어 구성 - CPU - Main Memory - SMBus (System Management Bus) ⇒ I2C 전기신호 프로토콜을 기반으로 하고 있음 ⇒ CPU 코어별 주파수 상태(클럭 속도)도 제어 ⇒ LPC 중 하나이지만, 무척 소중 -> BUS 신호들로 인해서 메모리 버스 전송 속도를 결정 - LPC (Low Pin Count) ⇒ 저속으로 동작하는 장치 중, CPU와 직접 신호 연결을 통해 동작하는 장치와 버스를 통칭 ⇒ BIOS, UEFI 펌웨어 롬도 이에 해당함 ⇒ 펌웨어 업데이트 외에도 최근에 TPM, IPMI 같은 장치용으로 쓰임 ⇒ Super I/O라는 형태의 장치로 많이 사용 -> 느린데 Super인 이유는 DMA,.. Anit-Virus - 0 • Anit-Virus 제품군은 무엇인가? - File System Scanning - 치료? 격리? ⇒ 컴퓨터의 바이러스 등의 악성코드를 탐지하고 방어하기 위한 유틸리티 소프트웨어이다. *악성코드 : 정책을 위반하는 프로그램이다. * 정책이란 운영체제 → 컴퓨터를 운영하기 위한 정책을 프로그래밍한 소프트웨어이다. • 하드웨어 구조와 OS, 컴파일러 관계(HW Arch, OS, Compiler와 함께 발전하는 Anti-Virus 시스템) - Turing Machine (메모리 기반의 컴퓨터) > 규칙표에 따라 테이프 스트립의 기호를 조작하는 추상기계를 설명하는 계산의 수학적 모델이다. > 모델의 단순성에도 불구하고 모든 컴퓨터 알고리즘을 구현할 수 있다. > Turing Machine은 컴퓨터가 수행하는.. 이전 1 다음
