나름 V3만큼의 사용자는 아니지만 어느정도 사용자가 있었던 터보백신 V498 입니다.
tv498.zipTurbo Vaccine (Disinfector), TV
제작자 : 임 형 택 (Lim Hyoung-Taek)
목차
하나. 개요
둘. TV(터보 백신)의 정의
셋. 특징
넷. 실행환경
다섯. 설치 및 사용 방법
여섯. Heuristic flags
일곱. 이 프로그램 사용전의 주의 사항
여덟. TV(터보 백신)의 향후 발전 계획
아홉. 제작자의 연락처
하나. 개요
필자가 처음으로 컴퓨터 바이러스 백신을 제작하게 된 시기는 1994년
4월 중순쯤 이었습니다. 필자의 컴퓨터가 Jerusalem virus에 감염되어
있다는 걸 발견한 이후로 바이러스에 대한 연구를 시작하게 되어
Turbo Vaccine을 제작하게 되었고, Jerusalem virus외에 많은 바이러스
들을 추가해 오고 있습니다. 1994년 10월 현재는 61종의 바이러스들에
대한 진단/치료 기능을 가지고 있습니다.
1995년 1월 20일 버전인 TV V.90에서는 인공지능 검사 옵션인 /H 옵션을
추가했습니다. 이 옵션은 (H)euristic scan (귀납적 추리에 의한 검사,
스스로 생각하게 하는 검사) 입니다. 신종 바이러스의 경우도 바이러스 코
드를 조합하여 바이러스가 의심되는 경우에는 '안 알려진 바이러스'로 진
단해줍니다. 현재 계속해서 나오고 있는 변형 바이러스와 신종 바이러스에
대해 대처하기 위해서는 인공지능 검사 옵션이 반드시 필요하다는 판단하
에 이러한 기능을 추가하게 되었습니다.
둘. TV(터보 백신)의 정의
터보 백신은 알려진 컴퓨터 바이러스에 대하여 진단하고 치료할 수 있는
기능을 가진 프로그램 입니다. (/H 옵션을 사용할 경우는 안 알려진 바이
러스 또한 진단 가능합니다.)
셋. 특징
1. TV는 바이러스의 진단과 치료를 목적으로 제작한 컴퓨터 바이러스 치료
용 백신 입니다.
2. TV V47 이전 까지는 진단법의 허점으로 인하여 많은 문제점이 발견이
되었으나 TV V55이후로는 새로운 진단법을 도입하여 진단법에 있어서
신뢰도를 높이고 성능을 향상 시켰습니다.
3. TV V90 이후 버전에서는 인공지능 검사방법을 도입하여 '안 알려진 바
이러스' 또한 진단 가능하도록 했습니다.
넷. 실행 환경
1. 컴퓨터 : IBM PC/XT 이상 또는 그 호환 기종
2. 운영체제 : MS-DOS 3.XX 이상, 또는 그 호환 DOS
다섯. 설치 및 사용 방법
1. 설치 방법
통신으로 다운 받은 압축 파일을 먼저 압축 유틸리티를 이용해서 특정
디렉토리를 만든후 압축을 풀도록 합니다.
예) C:\>MD C:\TV
C:\>PKUNZIP TV90 C:\TV
압축을 풀게 되면 다음과 같은 파일들이 생성될 것 입니다.
다음)
TV.EXE - 실행 파일입니다.
TV.DOC - 현재 보고 있는 파일로 TV의 개요와 전반적인 사항,
주의 사항, 사용 방법등이 상세하게 나와 있습니다.
VIRUSLST.TV - TV 현재 버전에서 진단 가능한 바이러스의 목록 파일
입니다.
UPDATE.TV - 버전업시 추가된 사항이나 개선 사항에 대해서 기술
한 파일 입니다.
2. 사용 방법
1) 옵션 설명
/A : scan (A)ll files
모든 파일을 검색하는 옵션입니다.
/C : check excutable files (C)ompression
실행 파일 압축을 체크합니다. 실행파일 압축 유틸리티에 의
해서 압축된 파일의 경우 이를 체크하고, 압축기의 종류와
압축을 푸는 방법을 알려 줍니다.
/E : scan (E)xecutable files (default)
실행 파일만을 검색하는 옵션으로 디폴트 옵션입니다.
/H : (H)euristic scan
인공지능 검사 옵션으로 검색 속도는 느리지만 안알려진 바
이러스 또한 진단 가능합니다. (단, 암호화 바이러스의 경우
는 아직 진단하지 못합니다.)
/N : (N)o question about repairing");
바이러스가 발견될 경우 치료 여부를 묻지 않고 치료를
합니다. 많은 파일을 치료해야 할 경우 유용합니다.
단, 치료가 될 수 없는 파일의 경우는 삭제 여부를 물어
봅니다.
/S : scan (S)ubdirectories
특정 디렉토리 검사시 하위 디렉토리 까지 검사하는 기능 입
니다.
\UTIL ㅔ컴 BIN
쳐컴 CMPR
쳐컴 TOOLS
읕컴 NU
위와 같은 트리구조를 가지고 있을 경우 /S옵션을 사용하지
않을 경우는 \UTIL디렉토리만을 검사합니다. 그러나 /S옵션
을 사용할 경우는 \UTIL의 하위 디렉토리인 BIN, CMPR,
TOOLS, NU 디렉토리의 파일 또한 모두 검사합니다.
옵션을 줄 시에는 반드시 한칸을 띄운후 주어야 합니다.
예) C:\>TV C: /A
2) 사용 예
C:\>TV . -> 현재 디렉토리의 파일을 검사합니다.
C:\>TV \DOS -> \DOS 디렉토리의 파일을 검사합니다.
C:\>TV *.COM -> 현재 디렉토리의 *.COM 파일만을 검사합니다.
C:\>TV *.?OM -> 현재 디렉토리의 *.?OM 파일만을 검사합니다.
C:\>TV C: /A -> C 드라이브의 모든 파일을 검사합니다.
C:\>TV C: /C -> 실행파일 압축 유틸리티로 압축된 파일의 경우에는
압축 유틸리티의 종류와 압축을 푸는 방법을 알려
줍니다.
C:\>TV C: /E -> C 드라이브의 실행 파일만을 검사합니다.
C:\>TV C: /H -> C 드라이브의 실행 파일을 인공지능 방법으로
검사 합니다.
C:\>TV C: /N -> 만약 바이러스가 발견된 경우 치료여부를 묻지
않고 치료합니다.
C:\>TV \UTIL /S -> \UTIL밑의 하위 디렉토리 까지 모두 검사합니다.
* 다중 옵션 사용 예
C:\>TV \UTIL /A /S /N
C:\UTIL 디렉토리를 /A /S /N 옵션으로 검사한다.
3) 진단 예
* 기억 장소에서 N.EX.T virus(넥스트 바이러스)를 발견했을 경우
Conventional memory : 640 KB
Scanning the memory : found N.EX.T Virus --> Repaired
기억 장소 조사 : 넥스트 바이러스 발견 --> 치료
* 기억 장소에서 Monkey virus(원숭이 바이러스)를 발견했을 경우
Conventional memory : 639 KB
Scanning the memory : found Monkey virus --> Repaired
기억 장소 크기 : 639 KB
기억 장소 조사 : 원숭이 바이러스 발견 --> 치료
* 파일에서 Rosebud virus(로즈버드 바이러스)를 발견했을 경우
Scanning C:\SAMPLE.EXE
found Rosebud Virus - Repair it? (y/N) _
C:\SAMPLE.EXE 에서
로즈버드 바이러스 발견 - 치료 하시겠습니까?
이 경우 y키를 누르면 바이러스가 치료가 되고, 이외의 키를
눌렀을 경우는 치료가 되지 않읍니다.
* 치료 할 수 없는 파일을 발견했을 경우
Scanning C:\SAMPLE.COM
found No_Import_Rice Virus
This file cannot be repaired. - Delete it? (y/N) _
C:\SAMPLE.COM 에서
쌀수입 반대 바이러스 발견
이 파일은 치료될 수 없습니다. - 삭제 하시겠습니까?
때로는 파일을 겹쳐써서 복구가 불가능한 경우가 있습니다.
이 경우는 삭제 여부를 묻게 되는데, y키를 누르면 바이러스에
감염된 파일이 삭제가 되고, 이외의 키를 눌렀을 경우는 삭제를
하지 않고 다음 파일을 조사 합니다.
* 안 알려진 바이러스에 감염된 경우
이 화면은 SAMPLE2.EXE라는 파일이 어떤 이유(Heuristic flags 참조)로
바이러스에 감염된것 같으니 바이러스를 한번 의심해 보기 바란다는 의
미의 경고문 입니다.
郞袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴펭ARNNING!袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴拷
긁C:\SAMPLE2.EXE 궜
긁 probably infected by a unknown virus 궜
긁 궜
긁Heuristic flags 궜
긁B Back to entry point. 궜
긁D EXE/COM Determination. 궜
긁F supicious File access. 궜
긁M Memory resident code. 궜
긁 궜
긁 궜
긁 궜
긁 궜
긁 궜
긁 궜
긁 궜
긁 궜
긁 Delete it ? (y/N) _ 궜
?袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴袴槁
4) 오류 설명
4-1) 치명적 에러 핸들러를 통해 인지될 수 있는 에러들
* Error: Write protected
오류 : 쓰기 금지가 되어 있습니다.
* Error: Access to an unknown devices
오류 : 장비가 접속되어 있지 않습니다.
* Error: Drive not ready
오류 : 드라이브가 준비되어 있지 않습니다.
* Error: Unknown command
오류 : 잘못된 명령을 사용했습니다.
* Error: CRC error
오류 : 디스크가 불량입니다.
* Error: Wrong data length
오류 : 자료의 길이가 일정하지 않습니다.
* Error: Seek error
오류 : 읽을 수 없는 위치입니다.
* Error: Unknown device type
오류 : 사용할 수 없는 장비.
* Error: Sector not found
오류 : 섹터를 찾을 수 없습니다.
* Error: Write error
오류 : 쓰기 오류.
* Error: Read error
오류 : 읽기 오류.
* Error: General error
오류 : 일반적인 오류.
4-2) 옵션을 잘못 설정해서 발생할 수 있는 오류
* Error: Cannot find such directory or filename
오류 : 경로명이 잘못 지정 되었습니다.
4-3) 수행할 메모리가 부족할 경우 발생할 수 있는 오류
* Error: Out of memory
오류 : 프로그램을 수행할 기억 장소가 부족합니다.
4-4) 기타 발생할 수 있는 오류
* Error: Disk read error
오류 : 디스크 읽기 오류
* Error: Disk write error
오류 : 디스크 쓰기 오류
* Error: Invalid master boot sector
오류 : 무효한 마스터 부트 섹터.
- 이 오류는 원래의 마스터 부트섹터를 찾지 못할 경우
발생합니다.
5) Central Point Anti-Virus의 면역 기능 설치 체크 기능
만약 TV.EXE에 Central Point Anti-Virus의 면역 기능이 설치된
경우에는 다음과 같은 메시지를 출력한 후 실행을 중단합니다.
다음)
This program is immunized by Central Point Anti-Virus.
Please remove immunization.
이 프로그램에 설치된 Central Point Anti-Virus의 면역 기능을
제거해 주십시오.
6) TV의 바이러스 자체 진단 기능
만약 TV.EXE가 알려진 바이러스에 감염이 된 경우에는 이를
자체적으로 진단하고, 치료를 할 수 있습니다.
그러나 TV.EXE가 안 알려진 바이러스에 감염이 된 경우에는 다음
과 같은 메시지를 출력한 후 실행을 중단합니다.
다음)
This program is probably infected with unknown computer virus.
Please send this program to copyrighter.
이 프로그램은 안 알려진 바이러스에 감염이 되었을지도 모릅니다.
제작자에게 이 프로그램을 보내 주시기 바랍니다.
7) 신종 바이러스에 감염된 경우
만약 사용자가 신종 바이러스에 감염이 된 경우에는 파일 바이러스
의 경우는 감염된 파일을 제작자에게 보내 주시면 분석후에 백신에
추가하여 본인외에 다른 사용자들의 감염 또한 줄일수 있도록 할
것 입니다.
부트 바이러스의 경우는 부트섹터 만을 따로 채취하여 보내 주시는
것이 좋읍니다.
다음은 부트 바이러스 채취법 입니다.
* 채취전에 주의하실 점은 요즘은 대부분의 바이러스가 은폐기법을
사용하므로 반드시 감염되지 않은 디스켓으로 부팅하신후 채취해
서 보내주시기 바랍니다.
다음)
* 플로피 디스켓의 경우
1) A드라이브에 감염된 디스켓을 넣는다.
2) 도스의 debug.exe를 실행한다.
3) -l 100 0 0 1 B드라이브의 경우: -l 100 1 0 1
-rcx
CX 0000
:200
-nboot.com --> 생성 파일 이름
-w
-q
* 하드 디스크의 경우
하드 디스크의 경우는 주로 파티션 테이블에 감염이 됩니다.
파티션 테이블을 채취하는 방법
1) Norton Utility의 Diskedit.exe를 실행합니다..
2) 디렉토리 검사가 끝나면 Alt-A 키를 누릅니다.
3) Alt-W 키를 눌러서 'to file'을 선택하시면
파일명을 묻는데, boot.com이나 boot.mbs등
적당한 파일명을 써주시면 됩니다.
정상적으로 파일이 생성되었다면 512bytes의 길이를 가질 것
입니다.
여섯. Heuristic flags
1. 현재는 다음 10가지 플래그만 있지만 앞으로 더욱 신뢰도 높은 진단
을 위해서 계속해서 추가해 나갈 예정입니다.
* 만약 안 알려진 바이러스가 진단될 경우 여러 파일에서 진단되는
것이 아니고, 특정 파일에서만 진단이 되는 경우는 바이러스가 아
닐 가능성이 많이 있습니다. 아직 이 검사기능은 실험단계이므로
민감하게 반응할 수도 있습니다.
* 바이러스 치료후 실제로 바이러스는 제거되었지만 파일 뒷 부분에
바이러스 코드가 남아있는 경우가 있습니다. 이때도 안 알려진 바
이러스로 진단되는 경우가 있는데, 이런 경우는 바이러스에 감염된
상태는 아닙니다.
A supicious memory Allocation. - 의심스러운 메모리 재배치. 메모
리를 비정상적인 방법으로 재배치 하는등의 바이러스가 주로 사용
하는 메모리 재배치.
B Back to entry point. - 프로그램 수행도중 프로그램을 재 시작하
기 위해서 시작점으로 돌아가는 코드. 바이러스가 원래의 프로그
램을 실행하기 위해서 주로 사용함.
D EXE/COM Determination. - 확장자가 EXE인지 COM인지를 비교하는
코드. 바이러스가 감염시 감염시킬 파일이 EXE형태인지 COM형태인
지를 구별하기 위해서 사용함.
F supicious File access. - 의심스러운 파일 접근. 바이러스가 파
일을 감염시키기 위해서 비정상적인 파일 접근을 시도함.
K unusual stacK. - EXE 파일이 홀수 스택 오프셋이나 홀수 스택 세
그먼트를 사용하는 경우. 많은 바이러스들이 비정상적인 스택 값
을 셋팅한다.
L contains a routine to compare the Loading of program. - 프로
그램을 기억장소에 적재하는 코드인가를 비교하는 루틴을 포함.
바이러스가 프로그램이 적재되는 시점에서 감염을 시키기 위해서
주로 사용함.
M Memory resident code. - 기억장소 상주 코드. 프로그램이 기억장
소 상주 코드를 가지고 있는 경우, 기억장소에 상주해서 인터럽트
를 가로채는 바이러스가 사용함.
R program code Relocator. - 프로그램 코드 재배치. 비 정상적인
방법으로 프로그램을 재배치하고, 시작한다.
S contains a routine to Serach for executable (*.COM/*.EXE) fil
-es. - 실행파일(*.COM/*.EXE) 검색 루틴을 포함. 비 상주 바이러
스의 경우 주로 실행파일 검색을 통해서 자신을 감염시킨다.
W disk Write access. - 디스크 쓰기 작용. 부트 바이러스는 감염을
위해서 디스크 쓰기 작용을 시도한다. 파일 바이러스의 경우도 디
스크 겹쳐쓰기 부작용을 위해서 디스크 쓰기 작용을 하기도 한다.
일곱. 이 프로그램 사용전의 주의 사항
1. 이 프로그램은, 공개 소프트웨어로 단지 개인적인 업무나 학교등에서
사용하기 위해서 복사 하거나 통신을 통해서 받는 것은 허용하지만
상업적인 목적으로는 사용할 수 없음을 밝혀 둡니다.
2. 또한, 프로그램을 마음대로 변형시킬 수 없으며 다른 프로그램들과
함께 압축하여 배포할 수 없습니다.
3. 이 프로그램의 제작자는 이 프로그램의 제작에 최선의 노력을
다했습니다. 제작자는 명문화 된것이든 암시된 것이든 이 프로그램에
관하여 어떤 종류의 보증도 하지 않습니다. 제작자는 이 프로그램의
설치, 성능 또는 사용과 그로 인해 발생된 우발적인 또는 필연적인
손상 등 어떤 사태에 대해서도 책임이 없음을 밝혀둡니다.
여덟. TV(터보 백신)의 향후 발전 계획
1. 여러가지 강화 유틸리티들을 추가
2. 윈도우즈용 터보 백신 개발 (94년 10월말 베타 버전 제작 완료,
공개 자료실 등록)
3. /H 옵션에서의 검색속도 증가, 안 알려진 바이러스에 대한 더욱 더
완벽한 검사가 가능하도록 함 (현재는 약 35%정도의 안알려진 바이
러스 진단 가능)
아홉. 제작자의 연락처
1. 나우누리 ID : hello
천리안 ID : zpihello
인터넷 : hello@nownuri.net
홈 페이지 : http://blue.nownuri.net/~hello
'소프트웨어 > 백신' 카테고리의 다른 글
| McAfee VirusScan for DOS/PM v4.5.0 (1) | 2016.07.01 |
|---|---|
| VACCINE program for Brain (0) | 2016.06.26 |
| V3+ Ver.2011 (0) | 2016.06.26 |
| V3+ Ver.2037 (0) | 2016.06.26 |
| V3+ Neo Ver.8545 (0) | 2016.06.26 |