Nah, ternyata malware tersebut dapat dianalisa. Setelah kita menemukan file malware tersebut, bisa berupa virus, trojan, backdoor, dan lain-lain, kita bisa menganalisa agar dapat mengantisipasi penanganan dan cara memperbaikinya.
Kebetulan saat saya menulis ini saya sedang PKL (Prakter Kerja Lapangan) atau bisa juga disebut KKP (Kuliah Kerja Praktek) di ID-SIRTII. Lumayan dapet ilmu yang memang tidak diajarkan diperkuliahan. hehehehe
Rekomendasi Buku
Setelah saya mendapat saran dari seorang teman dan mencoba mencari-cari di internet, saya merekomendasikan sebuah buku tentang analisa malware. Buku ini tampaknya baru edisi pertama jadi tidak terlalu bagus tampilannya, tetapi isinya yang memang jarang ditemukan di buku-buku lain.
Yang saya suka dari buku ini adalah, untuk menjalankan fitur-fiturnya pengguna harus menginstall sistem operasi Linux di komputernya. Sedangkan untuk menjalankan malwarenya sistem operasi Windows harus diinstall di dalam VirtualBox. Dia menggunakan SO Backtrack4 sebagai host (sistem operasi utama) dan Windows XP sebagai guest (sistem operasi virtual).
Teknik Analisa Malware
Ada tiga teknik analisa malware, yaitu surface analysis, runtime analysis, dan static analysis. Oh ya pengertian-pengertian berikut saya ambil dari tulisannya Prof. Richardus Eko Indrajit di ID-SIRTII.
Yang pertama adalah surface analysis. Sesuai dengan namanya, “surface analysis” adalah suatu kajian pendeteksian malware dengan mengamati sekilas ciri-ciri khas sebuah file program tanpa harus mengeksekusinya.
Saat ini cukup banyak aplikasi yang bebas diunduh untuk membantu melakukan kegiatan surface analysis ini, karena cukup banyak prosedur kajian yang perlu dilakukan, seperti misalnya: HashTab dan digest.exe (Hash Analysis), TrID (File Analysis), BinText dan strings.exe (String Analysis), HxD (Binary Editor), CFF Explorer (Pack Analysis), dan 7zip (Archiver).
Yang kedua runtime analysis. Pada dasarnya ada kesamaan antara runtime analysis dengan surface analysis, yaitu keduanya sama-sama berada dalam ranah mempelajari ciri-ciri khas yang selayaknya ada pada sebuah program yang normal. Bedanya adalah bahwa dalam runtime analysis, dipersiapkan sebuah prosedur dan lingkungan untuk mengeksekusi atau menjalankan program yang dicurigai mengandung atau sebagai malware tersebut.
Aplikasi pendukung lainnya yang kerap dipergunakan dalam melakukan kajian ini adalah: Process Explorer, Regshot, Wireshark, TCPView, Process Monitor, FUNdelete, Autoruns, Streams/ADSSpy, dan lain-lain. Keseluruhan aplikasi tersebut biasanya dijalankan di sisi klien; sementara di sisi server-nya diperlukan FakeDNS, netcat/ncat, tcpdump/tshark, dan lain sebagainya.
Dari ketiga metode yang ada, static analysis merupakan model kajian yang paling sulit dilakukan karena sifat analisanya yang “white box” alias pengkajian melibatkan proses melihat dan mempelajari isi serta algoritma program malware dimaksud, sambil mengamati sekaligus menjalankan/mengeksekusinya.
Cukup banyak aplikasi pendukung yang diperlukan, tergantung dari kompleksitas malware yang ada. Contohnya adalah: IDA Pro (Disassembler); Hex-Rays, .NET Reflector, and VB Decompiler (Decompiler); MSDN Library, Google (Library); OllyDbg, Immunity Debugger, WinDbg/Syser (Debugger); HxD, WinHex, 010editor (Hex Editor); Python, Lunux Shell/Cygwin/MSYS (Others); dan lain-lain.
0 comments:
Poskan Komentar
Setelah membaca tinggalin komennya ya....
makasih :)