Cisco Cisco Email Security Appliance C190 User Guide
12-3
Cisco AsyncOS 9.1 for Email 사용 설명서
12 장 안티바이러스
Sophos Anti-Virus 필터링
바이러스 탐지 엔진
Sophos 바이러스 탐지 엔진은 Sophos Anti-Virus 기술의 핵심입니다. 이 엔진은 Microsoft의
COM(Component Object Model)과 유사한 독점적 아키텍처를 사용하며, 정의된 인터페이스와 다수
의 객체로 구성되어 있습니다. 이 엔진에 사용되는 모듈식 파일 정리 시스템은 별도의 자체 포함 동
적 라이브러리를 기반으로 하며, 라이브러리마다 각기 다른 "스토리지 클래스"(예: 파일 유형)를
처리합니다. 이러한 방식을 사용하여 유형과 관계없이 일반 데이터 소스에 바이러스 검사 작업을
적용할 수 있습니다.
COM(Component Object Model)과 유사한 독점적 아키텍처를 사용하며, 정의된 인터페이스와 다수
의 객체로 구성되어 있습니다. 이 엔진에 사용되는 모듈식 파일 정리 시스템은 별도의 자체 포함 동
적 라이브러리를 기반으로 하며, 라이브러리마다 각기 다른 "스토리지 클래스"(예: 파일 유형)를
처리합니다. 이러한 방식을 사용하여 유형과 관계없이 일반 데이터 소스에 바이러스 검사 작업을
적용할 수 있습니다.
데이터를 로드하고 검색할 수 있는 특수 기술 덕분에 엔진의 검사 속도가 매우 빨라집니다. 엔진에
통합된 기능은 다음과 같습니다.
통합된 기능은 다음과 같습니다.
•
다형성 바이러스를 탐지하는 전체 코드 에뮬레이터
•
아카이브 파일 내부를 검사할 수 있는 온라인 압축 해제 프로그램
•
매크로 바이러스를 탐지하고 치료하는 OLE2 엔진
Cisco 어플라이언스에는 SAV 인터페이스를 통한 바이러스 엔진이 통합되었습니다.
바이러스 검사
넓은 의미에서, 분류자에는 찾을 위치가 포함되어 있고 바이러스 데이터베이스에는 찾을 항목이 저
장되어 있습니다. 이 두 가지 주요 구성 요소가 강력하게 결합하여 엔진 검색 기능을 관리합니다. 이
엔진은 확장명을 사용하는 대신 유형별로 파일을 분류합니다.
장되어 있습니다. 이 두 가지 주요 구성 요소가 강력하게 결합하여 엔진 검색 기능을 관리합니다. 이
엔진은 확장명을 사용하는 대신 유형별로 파일을 분류합니다.
바이러스 엔진은 시스템에 수신된 메시지의 본문 및 첨부 파일에서 바이러스를 검색합니다. 첨부
파일의 파일 유형은 검사를 결정하는 데 도움이 됩니다. 예를 들어 메시지에 첨부된 파일이 실행 파
일인 경우 엔진은 실행 파일 코드가 시작된 위치를 알려주는 헤더를 검사하고 찾습니다. 파일이
Word 문서인 경우 엔진은 매크로 스트림을 확인합니다. 메일 메시징에 사용되는 형식인 MIME 파
일인 경우에는 첨부 파일이 저장된 위치를 확인합니다.
파일의 파일 유형은 검사를 결정하는 데 도움이 됩니다. 예를 들어 메시지에 첨부된 파일이 실행 파
일인 경우 엔진은 실행 파일 코드가 시작된 위치를 알려주는 헤더를 검사하고 찾습니다. 파일이
Word 문서인 경우 엔진은 매크로 스트림을 확인합니다. 메일 메시징에 사용되는 형식인 MIME 파
일인 경우에는 첨부 파일이 저장된 위치를 확인합니다.
탐지 방법
바이러스 탐지 방법은 바이러스 유형에 따라 다릅니다. 검사 프로세스 중에 엔진은 각 파일을 분석
하고 유형을 식별한 다음 관련 기술을 적용합니다. 모든 방법의 근간이 되는 기본 개념은 특정 유
형의 명령 또는 특정 명령 순서를 찾는 것입니다.
하고 유형을 식별한 다음 관련 기술을 적용합니다. 모든 방법의 근간이 되는 기본 개념은 특정 유
형의 명령 또는 특정 명령 순서를 찾는 것입니다.
관련 주제
•
•
•
패턴 일치
패턴 일치 기술에서 엔진은 특정 코드 시퀀스를 알고 있으며 코드를 바이러스로 식별하는 정확한 일
치 항목을 찾습니다. 엔진은 유사한 코드 시퀀스를 찾긴 하지만 알려진 바이러스 코드 시퀀스와 정확
히 일치하지 않는 코드 시퀀스를 찾는 경우도 자주 있습니다. 검사 중에 비교 대상 파일에 대한 설명
을 생성하는 것과 관련하여 Sophos 바이러스 연구원은 아래 설명된 추론 방식을 통해 엔진이 원본 바
이러스는 물론 파생 바이러스도 발견할 수 있도록 식별 코드를 최대한 일반화하였습니다.
치 항목을 찾습니다. 엔진은 유사한 코드 시퀀스를 찾긴 하지만 알려진 바이러스 코드 시퀀스와 정확
히 일치하지 않는 코드 시퀀스를 찾는 경우도 자주 있습니다. 검사 중에 비교 대상 파일에 대한 설명
을 생성하는 것과 관련하여 Sophos 바이러스 연구원은 아래 설명된 추론 방식을 통해 엔진이 원본 바
이러스는 물론 파생 바이러스도 발견할 수 있도록 식별 코드를 최대한 일반화하였습니다.