Ada tiga cara untuk menganalisis virus, pertama dengan cara black box, yaitu melihat perilaku virus di sebuah lingkungan tertentu, menganalisis isi virus dengandisassembly, dan yang ketiga adalah dengan melihat jalannya virus dengan debugger. Sayangnya kebanyakan orang hanya bisa melakukan analisis cara pertama dan sedikit cara kedua, namun tidak menyeluruh.
Black box analysis
Beberapa program tersedia untuk melihat perbedaan state komputer sebelum dan sesudah program sesuatu dijalankan (termasuk juga sebelum dan sesudah virus dijalankan). Saya tidak terlalu percaya dengan program semacam ini, tapi program semacam ini bisa menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry apa yang dilakukan oleh virus.
Cara ini mudah namun tidak ampuh, karena mungkin saja virus berperilaku aneh setiap hari Rabu sementara Anda mengetes di hari Selasa. Mungkin juga program yang dipakai untuk mencatat state sistem tidak sempurna sehingga ada perubahan yang tidak tercatat, dan ada kemungkinan virus tersisa setelah proses analisis selesai. Jika virus cukup canggih dan bisa mendeteksi adanya program pemonitor, virus bisa bertingkah laku berbeda dari keadaannya yang biasa.
Disassembly dan atau dekompilasi
Program dalam bahasa tertentu (biasanya yang dikompilasi dan diinterpretasi sekaligus, misalnya Java atau C#) bisa didekompilasi dengan mudah, artinya "bahasa mesin" yang ada pada file exe bisa dikembalikan menjadi source code, tapi program dalam bahasa lain tidak bisa dikembalikan menjadi source code, hanya bisa menjadi bahasa assembly.
Bahasa assembly sifatnya sangat low level (sangat dekat dengan mesin) sehingga sulit dimengerti kecuali dengan kesabaran dan banyak latihan (biasanya dengan bantuan debugger juga). Tidak banyak orang yang mau dan bisa melakukan hal tersebut, tapi itulah yang setiap hari dilakukan cracker untuk membuat serial number generator, dan mengcrack aneka program (program bajakan yang dipakai oleh banyak orang sekarang adalah karya cracker).
Melihat jalannya virus dengan debugger
Debugger bisa digunakan untuk menjalankan virus dalam lingkungan yang dapat dimonitor. Alur eksekusi, termasuk enkripsi virus bisa dipelajari dengan mudah. Penganalisis harus berhati-hati karena virus bisa saja menggunakan teknikantidebug, atau berjalan tidak terkendali. Biasanya teknik analisis ini digabung dengan disassembly.
Sumber
0 komentar:
Post a Comment