[악성코드] Lab8

1. (1) PowerShell에서 ~/Desktop/AVCodes 폴더로 이동한 후, 다음의 명령어를 차례대로 수행한다.

python .\benign_file_gen.py
python .\fakeVirus_file_gen.py

python .\benign_file_gen.py

python .\fakeVirus_file_gen.py

 

(2) ~/Desktop/AVCodes 폴더에서 benign1.txt ... benign10.txt 파일들과 fakeVirus1.txt ... fakeVirus10.txt 파일들이 생성되었는지 확인한다. 파일명이 benign으로 시작하는 파일들은 정상적인 파일들로 가정하며, 파일명이 fakeVirus로 시작하는 파일들은 실제 바이러스를 포함하지는 않지만 본 랩 수행을 위해서 바이러스 파일들로 가정한다.

---

2. fakeVirus1.txt 파일을 복사하여 ~/Desktop/AVCodes/Ch4 폴더에 갖다 놓는다. PowerShell에서 ~/Desktop/AVCodes/Ch4 폴더로 이동한 후, 다음의 명령어를 수행한 후 화면에서 출력되는 내용을 확인한다.

 

python .\4-5.py

위의 명령어 수행 후 fakeVirus1.txt가 삭제되었음을 확인한다.

---

3. (1) ~/Desktop/AVCodes 폴더에 있는 benign2.txt 파일과 fakeVirus2.txt 파일을 복사하여 ~/Desktop/AVCodes/Ch5 폴더에 갖다 놓는다.

 

(2) PowerShell에서 ~/Desktop/AVCodes/Ch5 폴더로 이동한 후, 다음의 명령어를 수행한 후 화면에서 출력되는 내용을 확인한다.

 

python .\5-9.py .\benign2.txt

(3) PowerShell에서 ~/Desktop/AVCodes/Ch5 폴더로 이동한 후, 다음의 명령어를 수행한 후 화면에서 출력되는 내용을 확인한다.

 

python .\5-9.py .\fakeVirus2.txt

위의 명령어 수행 후 fakeVirus2.txt가 삭제되었음을 확인한다.

---

4. 바이러스 탐지 관점에서 5-9.py 프로그램은 4-5.py 프로그램을 어떠한 방식으로 개선하는지 서술하시오.

 

어떻게 동작? Hash값을 가지고 어떠한 형태로 동작하는지 등등...

fakevirus1.txt파일의 MD5와 비교하여 true/false 출력

일반화되어있지 않음(4.) 추가하려면 이일 이 menually하게 출력?

바이러스 DB를 만들었고, 해시값과 악성코드명을 분리함, 확장성이 좋음(5-9)