창조로 만든 프로그램이 즉 소스가 프로그램이 되는 과정에서 사용하는 기법이 과거에(현재에도 사용될 수 도 있는) 사용하던 바이러스의 형식(구조같은 것 들)과 매우 유사합니다.
고로 바이러스와 악성코드만 취급하는 백신에서는 과거의 바이러스 구조까지 모두 싹 가지고 있기 마련..... 결론적으로는 창조로 제작된 프로그램의 구조가 그 것과 비슷하기 때문이죠 ;
민용빈 2011-05-06 PM 5:39:17
예를 들자면 보통의 프로그램은 소스가 1234일때 ABCD로 변환이 된다고 하면 바이러스나 창조의 경우는 1234가 abcd로 변환이 된다..
이런 얘깁니다.
지상현 2011-05-06 PM 6:23:20
창조 프로그램의 구조라기보단, 남상기님이 실행부 만드실 때 스텁 실행 파일에 패킹 및 암호화를 적용하셨기 때문입니다.
바이러스인지 확인하는 것은 쉽게 말해 패턴을 비교하는 것인데, 암호화와 패킹이 걸려있으면 이것을 풀기 전까지는 바이러스인지 아닌지 알 수 없습니다. 따라서 일종의 압축을 푸는 과정이 필요하지만, 패킹된 코드는 일반적으로 '실행'을 해봐야 풀리는 경우가 대부분입니다.
바이러스인지 아닌지 확실하지 않는 코드를 함부로 실행할 수 있을 리가 없으므로, 이렇게 바이러스인지 아닌지 확실하지 않는 파일은 그냥 바이러스라고 취급하는게 가장 안전하겠죠?
따라서 대다수 백신들이 창조로 만들어진 실행 파일을 잠재적 바이러스로 취급합니다.
이것은 창조 실행기가 만들어지는 방법과 관계가 없습니다.
실행 파일 끝에 추가 데이터를 붙이는 방법은 SFX(자동 압축 풀림 파일) 등에 많이 쓰이는 기법이며 아시다시피 백신들이 SFX 파일을 모두 바이러스로 진단하는 것은 아닙니다.
단순히 실행기가 암호화 패킹이 되어 있기 때문입니다. (그것도 상당히 옛날 방식이지요 ^^;)