Cisco Cisco Email Security Appliance C190 User Guide

Cisco AsyncOS 9.1 for Email 사용 설명서

12 장     안티바이러스

  Sophos Anti-Virus 필터링

바이러스 탐지 엔진

Sophos 바이러스 탐지 엔진은 Sophos Anti-Virus 기술의 핵심입니다. 이 엔진은 Microsoft의 
COM(Component Object Model)과 유사한 독점적 아키텍처를 사용하며, 정의된 인터페이스와 다수
의 객체로 구성되어 있습니다. 이 엔진에 사용되는 모듈식 파일 정리 시스템은 별도의 자체 포함 동
적 라이브러리를 기반으로 하며, 라이브러리마다 각기 다른 "스토리지 클래스"(예: 파일 유형)를 
처리합니다. 이러한 방식을 사용하여 유형과 관계없이 일반 데이터 소스에 바이러스 검사 작업을 
적용할 수 있습니다.

데이터를 로드하고 검색할 수 있는 특수 기술 덕분에 엔진의 검사 속도가 매우 빨라집니다. 엔진에 
통합된 기능은 다음과 같습니다.

다형성 바이러스를 탐지하는 전체 코드 에뮬레이터

아카이브 파일 내부를 검사할 수 있는 온라인 압축 해제 프로그램

매크로 바이러스를 탐지하고 치료하는 OLE2 엔진

Cisco 어플라이언스에는 SAV 인터페이스를 통한 바이러스 엔진이 통합되었습니다.

바이러스 검사

넓은 의미에서, 분류자에는 찾을 위치가 포함되어 있고 바이러스 데이터베이스에는 찾을 항목이 저
장되어 있습니다. 이 두 가지 주요 구성 요소가 강력하게 결합하여 엔진 검색 기능을 관리합니다. 이 
엔진은 확장명을 사용하는 대신 유형별로 파일을 분류합니다.

바이러스 엔진은 시스템에 수신된 메시지의 본문 및 첨부 파일에서 바이러스를 검색합니다. 첨부 
파일의 파일 유형은 검사를 결정하는 데 도움이 됩니다. 예를 들어 메시지에 첨부된 파일이 실행 파
일인 경우 엔진은 실행 파일 코드가 시작된 위치를 알려주는 헤더를 검사하고 찾습니다. 파일이 
Word 문서인 경우 엔진은 매크로 스트림을 확인합니다. 메일 메시징에 사용되는 형식인 MIME 파
일인 경우에는 첨부 파일이 저장된 위치를 확인합니다. 

탐지 방법

바이러스 탐지 방법은 바이러스 유형에 따라 다릅니다. 검사 프로세스 중에 엔진은 각 파일을 분석
하고 유형을 식별한 다음 관련 기술을 적용합니다. 모든 방법의 근간이 되는 기본 개념은 특정 유
형의 명령 또는 특정 명령 순서를 찾는 것입니다.

관련 주제

패턴 일치

패턴 일치 기술에서 엔진은 특정 코드 시퀀스를 알고 있으며 코드를 바이러스로 식별하는 정확한 일
치 항목을 찾습니다. 엔진은 유사한 코드 시퀀스를 찾긴 하지만 알려진 바이러스 코드 시퀀스와 정확
히 일치하지 않는 코드 시퀀스를 찾는 경우도 자주 있습니다. 검사 중에 비교 대상 파일에 대한 설명
을 생성하는 것과 관련하여 Sophos 바이러스 연구원은 아래 설명된 추론 방식을 통해 엔진이 원본 바
이러스는 물론 파생 바이러스도 발견할 수 있도록 식별 코드를 최대한 일반화하였습니다.