Langkah mudah menganalisis virus tanpa antivirus
Virus, istilah yang selalu identik dengan “komputer”, “kerugian”, “kehilangan data”, “exe, bat, com, scr”, dan sebagainya.
Banyak sekali orang buta dengan penanganan virus secara manual. Oleh karena itu sebagai praktisi dalam bidang teknologi informasi, setidaknya kita memiliki pengetahuan dasar bagaimana cara menganalisis virus,
sehingga tahu cara pencegahan dan pembasmiannya, serta mengembalikan data yang hilang akibat virus (bila memungkinkan).
Buku ini menyajikan langkah-langkah analisis virus menurut pandangan penulis. Langkah-langkah yang dibahas dalam buku ini bukanlah langkah yang memberikan hasil terbaik, namun langkah yang dibahas adalah yang optimal, di mana tidak diperlukan kemampuan pemrograman yang luar biasa tinggi untuk dapat melakukannya. Analisis virus bukanlah hal yang sulit, seperti yang orang-orang katakan: KISS (Keep It Stupid Simple), artinya jangan terlalu dibesar-besarkan, anggaplah permasalahan itu sesuatu yang sederhana, namun bukan berarti menyepelekan.
Sebelum mulai melakukan analisis, kita perlu alat bantu berupa perangkat lunak, yaitu:
- Vmware (unduh di http://vmware.com)
- Process Monitor (unduh di http://sysinternals.com)
- Process Explorer (unduh di http://sysinternals.com)
- Hide Caption (unduh di http://adilmakmur.wordpress.com)
Anda harus mengunduh keempat perangkat lunak di atas sebelum melanjutkan ke pembahasan inti dari tutorial ini.
Mungkin pembaca penasaran, mengapa harus menggunakan VMware, Process Explorer, Process Monitor, dan Hide Caption? Apa fungsi dari keempat perangkat lunak di atas?
Alasan mengapa kita menggunakan VMware adalah karena VMware adalah sebuah mesin virtual, yaitu perangkat lunak yang seolah-olah berfungsi sebagai perangkat keras. Suatu sistem operasi dapat dipasangkan ke dalam VMware, termasuk Windows dan Linux.
Setelah kita memasang sistem operasi di dalam VMware, nantinya kita akan menjalankan virus yang akan kita analisis di dalamnya. Sehingga virus tidak akan menginfeksi komputer kita yang sebenarnya, virus hanya menginfeksi sistem operasi di dalam VMware tersebut. Sehingga akan menghilangkan rasa khawatir akan kehilangan data ataupun kerusakan sistem.
Process Monitor adalah suatu alat yang digunakan untuk mengawasi proses. Proses adalah file yang telah dieksekusi dan sedang berjalan dalam memori komputer. Process Monitor dapat mendeteksi perubahan file system, registry, dan proses oleh virus. Sehingga kita akan tahu gerak gerik virus di dalam komputer.
Process Explorer adalah suatu alat yang digunakan untuk mengawasi proses apa saja yang sedang berjalan di dalam komputer, dan mempunyai kemampuan untuk menghentikan proses tertentu.
Hal ini berguna untuk menghentikan proses virus.
Hide Caption adalah suatu alat yang digunakan untuk menyembunyikan caption suatu window. Caption adalah judul dari window, misal bila kita menjalankan “Notepad”, captionnya adalah “Untitled – Notepad”. Hide Caption dapat menyembunyikan tulisan “Untitled - Notepad”
Caption biasanya dimanfaatkan oleh virus untuk mendeteksi keberadaan proses lain, missal keberadaan antivirus. Sehingga apabila virus mengetahui ada aplikasi yang memiliki caption yang mengandung kata: “antivirus” maka virus tersebut akan menghentikan proses yang memiliki caption “antivirus” tadi. Caption dari Process Monitor dan Process Explorer adalah salah satu caption yang diawasi oleh virus dan virus akan menutup proses dari Process Monitor dan Process Explorer secara paksa. Akibatnya kita tidak jadi menganalisis. Dengan alat bernama “Hide Caption” ini, Process Monitor dan Process Explorer akan terhindar dari pengawasan kebanyakan virus.
Setelah Anda paham maksud dari keempat perangkat lunak tersebut, silakan diunduh secepatnya.
Setelah Anda unduh, Anda pasang VMware di komputer Anda, kemudian silakan pasang sistem operasi di dalam VMware tersebut, sangat disarankan memasang Windows XP SP2.
Di sini tidak akan dijelaskan bagaimana cara memasang VMware tersebut, silakan baca manual yang disertakan dalam paket VMware.
Setelah VMware dan Windows XP terpasang dengan baik, buatlah sebuah snapshot, snapshot adalah fitur dari VMware yang mengizinkan kita untuk melakukan reset terhadap file system dalam Windows XP Guest (Windows XP yang dipasang dalam VMware). Sehingga data-data akan kembali seperti semula seperti keadaan ketika snapshot dibuat. Fitur ini mirip dengan fitur perangkat lunak Deep Freeze. Berbeda dengan Deep Freeze yang melakukan reset setiap kali komputer restart, VMware ini akan melakukan reset hanya jika dilakukan perintah Revert to Snapshot oleh pengguna. Untuk mempelajari bagaimana cara membuat snapshot dan bagaimana cara melakukan perintah Revert to Snapshot, silakan buka petunjuk (manual) yang disertakan dalam paket VMware.
PEMBAHASAN
Mari kita mulai pembahasan tentang bagaimana cara menganalisis virus menggunakan keempat perangkat lunak di atas.
Pertama kali yang dilakukan adalah menjalankan VMware yang di dalamnya sudah terpasang Windows XP.
Tunggu sampai layar Desktop muncul.
Setelah itu siapkan ketiga perangkat lunak lainnya, dan ganti namanya menjadi nama yang tidak ada
hubungannya dengan “process, virus, antivirus” dan sebagainya. Misal ganti nama procmon.exe dengan saya.exe, procexp.exe dengan kamu.exe, hide caption.exe dengan dia.exe. Siapkan juga file virusnya, boleh virus apa saja, beri nama musikkeren.exe.
Setelah siap, jangan menjalankan virus duluan, namun jalankan saya.exe, kamu.exe, dan dia.exe.
Hilangkan caption dari Process Monitor dan Process Explorer. Pastikan ketiga perangkat lunak di atas dalam kondisi berjalan. Jangan pernah menutupnya sebelum virus teranalisis.
Sebelum Anda menghilangkan caption dari Process Monitor, set terlebih dahulu filternya. Filter berfungsi untuk memilah-milah proses berdasarkan kriteria tertentu. Dalam hal ini, filter akan diset menjadi musikkeren.exe. Lihat gambar di bawah ini.
Lihat pada bagian (1), isikan persis seperti gambar di atas pada Process Monitor Anda. Setelah itu klik tombol “Add”, dan terakhir klik tombol “OK”. Setelah itu Process Monitor akan berjalan.
Setelah berhasil melakukan langkah di atas, mulailah untuk menyembunyikan caption dari Process Monitor dengan cara drag drop icon cursor dalam Hide Caption ke atas Caption dari Process Explorer. Lihat gambar di bawah ini.
Hasilnya akan tampak seperti gambar di bawah ini, yaitu caption dari Process Monitor akan hilang.
Lakukan juga terhadap Process Explorer, namun ingat: JANGAN pernah menutup aplikasi Process Monitor dan Process Explorer sebelum eksperimen ini berhasil, atau Anda akan mengalami kerepotan.
Kemudian ubah pengaturan pada Process Explorer.
Hasilnya akan dilihat pada gambar di bawah ini.
Setelah itu, jalankan file virus dengan cara double-click (klik ganda) pada file musikkeren.exe. Jangan takut, data Anda tidak akan terpengaruh oleh virus karena virus berjalan di Windows XP Guest. Process Monitor dan Process Explorer akan mendeteksi virus tersebut.
Jangan terburu-buru menutup proses virus. Kita analisis dahulu apa yang akan dilakukan oleh virus.
Masuk ke Process Monitor dan ubah filternya.
Lihat gambar di bawah ini.
Hapus filter pertama kali yang sudah kita set tadi.
Tambahkan filter baru sebanyak tiga kali dengan nama prcsys.exe, prcsys2.exe, dan prcsys3.exe.
Nama nama tersebut diambil dari nama proses virus yang berjalan (dapat dilihat pada Process Explorer).
Tambahkan prcsys.exe
Tambahkan prcsys2.exe
Tambahkan prcsys3.exe, kemudian klik OK.
Harap bersabar ketika Process Monitor menerapkan filter tersebut. Kemungkinan cukup lama.
Setelah itu, silakan tunggu beberapa menit agar Process Monitor lebih banyak mendeteksi hal-hal yang dilakukan oleh virus.
Setelah dirasa cukup. Saatnya menyimpan hasil tangkapan Process Monitor ke dalam sebuah file.
Beri nama file tempat menyimpannya. Misalkan mk.PML. PML adalah ekstensi yang digunakan oleh Process Monitor.
Hal ini cukup lama, mengingat hasil tangkapan Process Monitor sangat banyak.
Setelah selesai, lihat berapa ukuran file tersebut. Dalam hal ini terlihat bahwa ukuran file mk.PML sangat besar, yaitu 346 MB.
Ukuran itu sendiri tergantung seberapa banyak tangkapan dan seberapa lama Process Explorer menganalisis.
Setelah itu, simpan hasil tangkapan tersebut ke dalam komputer asli Anda. Lakukan drag drop dari VMware ke desktop Anda.
Lagi lagi proses ini memakan waktu cukup lama.
Setelah proses selesai, Anda boleh bangga karena sudah berhasil merekam hal hal apa saja yang dilakukan oleh virus. Selanjutnya, masuk ke Process Explorer.
Terlihat bahwa proses virus masih berjalan.
Tutup ketiga proses virus secara paksa.
Klik pada proses virus yang terletak “paling bawah” sekali saja. Kemudian tekan tombol “Del” atau “Delete” yang ada pada keyboard 3x secepat mungkin, atau Process Explorer akan dengan tidak sengaja tertutup oleh aksi Anda sendiri.
Bila Anda beruntung, ketiga proses virus di atas akan tertutup dan anda boleh mengelus dada tanda lega. Sekarang Anda boleh mengakhiri VMware dan memulai langkah selanjutnya.
Sampai di sini, proses analisis berjalan sekitar 50%, sisanya adalah langkah sesungguhnya yaitu “Menganalisis hasil rekaman Process Monitor”.
Langkah sebelumnya hanyalah langkah yang dilakukan untuk mendapatkan rekaman tindakan virus. Dan langkah berikut ini adalah langkah yang melibatkan banyak konsentrasi dan daya analisis.
OK. Langsung saja. Jalankan Process Monitor (tidak perlu masuk VMware).
Buka file mk.PML tadi dengan cara menekan tombol Open pada toolbar Process Monitor.
Setelah Anda menekan tombol OK, Process Monitor akan langsung membukanya.
Mulai dari sini Anda dapat melakukan analisis terhadap segala sesuatu yang dilakukan virus terhadap komputer.
Kita dapat mempersempit analisis, misal kita hanya ingin menganalisis registry saja, atau file system saja, atau process saja.
Untuk lebih jelasnya, lihat gambar di bawah ini.
Sampai di sini Anda diharapkan dapat memahami bahwa Process Monitor dapat mendeteksi 3 hal pada sebuah proses.
1. Aktivitas proses yang berhubungan dengan Registry
2. Aktivitas proses yang berhubungan dengan File System
3. Aktivitas proses yang berhubungan dengan Process & Thread
Bila Anda belum tahu apa itu registry, file system, process & thread, penulis menganjurkan pembaca agar mencari tahu definisinya di http://en.wikipedia.org dengan bantuan fitur pencariannya.
Anda cukup melihat pada bagian Operation, Path, dan Result.
Contoh:
Operation : RegCreateKey
Path : HKLM\SOFTWARE\Microsoft\Cryptography\RNG Result : Success
Artinya : Virus membuat sebuah subkey dengan alamat
HKLM\SOFTWARE\Microsoft\Cryptography\RNG
dan hasilnya berjalan dengan sukses
Dan perintah perintah lain tidaklah rumit, karena menggunakan bahasa Inggris. Seperti RegSetValue berarti menulis registry / mengisi suatu data ke dalam suatu value.
Sama halnya dengan menganalisis file system.
Contoh:
Operation : CreateFile
Path : C:\WINDOWS\windows.exe
Result : NAME COLLISION
Artinya : Virus mencoba membuat file bernama windows.exe yang diletakkan di C:\WINDOWS, dan menghasilkan NAME COLLISION, yang artinya nama windows.exe sudah ada, sehingga terjadi tabrakan pemberian nama.
Hasil dari analisis analisis tergantung pada kemampuan bahasa inggris dan analisis Anda sendiri.
Tutorial ini hanya sebagai batu loncatan Anda untuk melakukan eksperimen terhadap virus menggunakan perangkat lunak di atas. Sehingga dengan keterampilan yang Anda miliki, Anda dapat lebih mengembangkan diri melalui eksperimen-eksperimen Anda sendiri.
Semoga tutorial ini dapat memberikan gambaran umum tentang langkah awal yang harus dilakukan dalam menganalisis virus. Dan untuk menghasilkan analisis yang hebat, diperlukan pengalaman- pengalaman berharga yang tidak bisa Anda dapatkan kecuali dengan mencoba, dan terus mencoba bereksperimen terhadap banyak virus. Ditambah pula pengetahuan tentang sistem operasi windows harus ada, paling tidak Anda mempunyai gambaran apa itu registry, bagaimana cara memanipulasinya, bagaimana virus dapat berjalan saat komputer hidup, dan sebagainya.
Selamat mencoba, bagikanlah ilmu yang anda dapat ini kepada teman-teman anda.
Akhir kata ,besar harapan penulis atas kritik dan saran dari para pembaca yang budiman.
Sumber : husni.adil@gmail.com http://adilmakmur.wordpress.com
Buku ini menyajikan langkah-langkah analisis virus menurut pandangan penulis. Langkah-langkah yang dibahas dalam buku ini bukanlah langkah yang memberikan hasil terbaik, namun langkah yang dibahas adalah yang optimal, di mana tidak diperlukan kemampuan pemrograman yang luar biasa tinggi untuk dapat melakukannya. Analisis virus bukanlah hal yang sulit, seperti yang orang-orang katakan: KISS (Keep It Stupid Simple), artinya jangan terlalu dibesar-besarkan, anggaplah permasalahan itu sesuatu yang sederhana, namun bukan berarti menyepelekan.
Sebelum mulai melakukan analisis, kita perlu alat bantu berupa perangkat lunak, yaitu:
- Vmware (unduh di http://vmware.com)
- Process Monitor (unduh di http://sysinternals.com)
- Process Explorer (unduh di http://sysinternals.com)
- Hide Caption (unduh di http://adilmakmur.wordpress.com)
Anda harus mengunduh keempat perangkat lunak di atas sebelum melanjutkan ke pembahasan inti dari tutorial ini.
Mungkin pembaca penasaran, mengapa harus menggunakan VMware, Process Explorer, Process Monitor, dan Hide Caption? Apa fungsi dari keempat perangkat lunak di atas?
Alasan mengapa kita menggunakan VMware adalah karena VMware adalah sebuah mesin virtual, yaitu perangkat lunak yang seolah-olah berfungsi sebagai perangkat keras. Suatu sistem operasi dapat dipasangkan ke dalam VMware, termasuk Windows dan Linux.
Setelah kita memasang sistem operasi di dalam VMware, nantinya kita akan menjalankan virus yang akan kita analisis di dalamnya. Sehingga virus tidak akan menginfeksi komputer kita yang sebenarnya, virus hanya menginfeksi sistem operasi di dalam VMware tersebut. Sehingga akan menghilangkan rasa khawatir akan kehilangan data ataupun kerusakan sistem.
Process Monitor adalah suatu alat yang digunakan untuk mengawasi proses. Proses adalah file yang telah dieksekusi dan sedang berjalan dalam memori komputer. Process Monitor dapat mendeteksi perubahan file system, registry, dan proses oleh virus. Sehingga kita akan tahu gerak gerik virus di dalam komputer.
Process Explorer adalah suatu alat yang digunakan untuk mengawasi proses apa saja yang sedang berjalan di dalam komputer, dan mempunyai kemampuan untuk menghentikan proses tertentu.
Hal ini berguna untuk menghentikan proses virus.
Hide Caption adalah suatu alat yang digunakan untuk menyembunyikan caption suatu window. Caption adalah judul dari window, misal bila kita menjalankan “Notepad”, captionnya adalah “Untitled – Notepad”. Hide Caption dapat menyembunyikan tulisan “Untitled - Notepad”
Caption biasanya dimanfaatkan oleh virus untuk mendeteksi keberadaan proses lain, missal keberadaan antivirus. Sehingga apabila virus mengetahui ada aplikasi yang memiliki caption yang mengandung kata: “antivirus” maka virus tersebut akan menghentikan proses yang memiliki caption “antivirus” tadi. Caption dari Process Monitor dan Process Explorer adalah salah satu caption yang diawasi oleh virus dan virus akan menutup proses dari Process Monitor dan Process Explorer secara paksa. Akibatnya kita tidak jadi menganalisis. Dengan alat bernama “Hide Caption” ini, Process Monitor dan Process Explorer akan terhindar dari pengawasan kebanyakan virus.
Setelah Anda paham maksud dari keempat perangkat lunak tersebut, silakan diunduh secepatnya.
Setelah Anda unduh, Anda pasang VMware di komputer Anda, kemudian silakan pasang sistem operasi di dalam VMware tersebut, sangat disarankan memasang Windows XP SP2.
Di sini tidak akan dijelaskan bagaimana cara memasang VMware tersebut, silakan baca manual yang disertakan dalam paket VMware.
Setelah VMware dan Windows XP terpasang dengan baik, buatlah sebuah snapshot, snapshot adalah fitur dari VMware yang mengizinkan kita untuk melakukan reset terhadap file system dalam Windows XP Guest (Windows XP yang dipasang dalam VMware). Sehingga data-data akan kembali seperti semula seperti keadaan ketika snapshot dibuat. Fitur ini mirip dengan fitur perangkat lunak Deep Freeze. Berbeda dengan Deep Freeze yang melakukan reset setiap kali komputer restart, VMware ini akan melakukan reset hanya jika dilakukan perintah Revert to Snapshot oleh pengguna. Untuk mempelajari bagaimana cara membuat snapshot dan bagaimana cara melakukan perintah Revert to Snapshot, silakan buka petunjuk (manual) yang disertakan dalam paket VMware.
PEMBAHASAN
Mari kita mulai pembahasan tentang bagaimana cara menganalisis virus menggunakan keempat perangkat lunak di atas.
Pertama kali yang dilakukan adalah menjalankan VMware yang di dalamnya sudah terpasang Windows XP.
Tunggu sampai layar Desktop muncul.
Setelah itu siapkan ketiga perangkat lunak lainnya, dan ganti namanya menjadi nama yang tidak ada
hubungannya dengan “process, virus, antivirus” dan sebagainya. Misal ganti nama procmon.exe dengan saya.exe, procexp.exe dengan kamu.exe, hide caption.exe dengan dia.exe. Siapkan juga file virusnya, boleh virus apa saja, beri nama musikkeren.exe.
Setelah siap, jangan menjalankan virus duluan, namun jalankan saya.exe, kamu.exe, dan dia.exe.
Hilangkan caption dari Process Monitor dan Process Explorer. Pastikan ketiga perangkat lunak di atas dalam kondisi berjalan. Jangan pernah menutupnya sebelum virus teranalisis.
Sebelum Anda menghilangkan caption dari Process Monitor, set terlebih dahulu filternya. Filter berfungsi untuk memilah-milah proses berdasarkan kriteria tertentu. Dalam hal ini, filter akan diset menjadi musikkeren.exe. Lihat gambar di bawah ini.
Lihat pada bagian (1), isikan persis seperti gambar di atas pada Process Monitor Anda. Setelah itu klik tombol “Add”, dan terakhir klik tombol “OK”. Setelah itu Process Monitor akan berjalan.
Setelah berhasil melakukan langkah di atas, mulailah untuk menyembunyikan caption dari Process Monitor dengan cara drag drop icon cursor dalam Hide Caption ke atas Caption dari Process Explorer. Lihat gambar di bawah ini.
Hasilnya akan tampak seperti gambar di bawah ini, yaitu caption dari Process Monitor akan hilang.
Lakukan juga terhadap Process Explorer, namun ingat: JANGAN pernah menutup aplikasi Process Monitor dan Process Explorer sebelum eksperimen ini berhasil, atau Anda akan mengalami kerepotan.
Kemudian ubah pengaturan pada Process Explorer.
Hasilnya akan dilihat pada gambar di bawah ini.
Setelah itu, jalankan file virus dengan cara double-click (klik ganda) pada file musikkeren.exe. Jangan takut, data Anda tidak akan terpengaruh oleh virus karena virus berjalan di Windows XP Guest. Process Monitor dan Process Explorer akan mendeteksi virus tersebut.
Jangan terburu-buru menutup proses virus. Kita analisis dahulu apa yang akan dilakukan oleh virus.
Masuk ke Process Monitor dan ubah filternya.
Lihat gambar di bawah ini.
Hapus filter pertama kali yang sudah kita set tadi.
Tambahkan filter baru sebanyak tiga kali dengan nama prcsys.exe, prcsys2.exe, dan prcsys3.exe.
Nama nama tersebut diambil dari nama proses virus yang berjalan (dapat dilihat pada Process Explorer).
Tambahkan prcsys.exe
Tambahkan prcsys2.exe
Tambahkan prcsys3.exe, kemudian klik OK.
Harap bersabar ketika Process Monitor menerapkan filter tersebut. Kemungkinan cukup lama.
Setelah itu, silakan tunggu beberapa menit agar Process Monitor lebih banyak mendeteksi hal-hal yang dilakukan oleh virus.
Setelah dirasa cukup. Saatnya menyimpan hasil tangkapan Process Monitor ke dalam sebuah file.
Beri nama file tempat menyimpannya. Misalkan mk.PML. PML adalah ekstensi yang digunakan oleh Process Monitor.
Hal ini cukup lama, mengingat hasil tangkapan Process Monitor sangat banyak.
Setelah selesai, lihat berapa ukuran file tersebut. Dalam hal ini terlihat bahwa ukuran file mk.PML sangat besar, yaitu 346 MB.
Ukuran itu sendiri tergantung seberapa banyak tangkapan dan seberapa lama Process Explorer menganalisis.
Setelah itu, simpan hasil tangkapan tersebut ke dalam komputer asli Anda. Lakukan drag drop dari VMware ke desktop Anda.
Lagi lagi proses ini memakan waktu cukup lama.
Setelah proses selesai, Anda boleh bangga karena sudah berhasil merekam hal hal apa saja yang dilakukan oleh virus. Selanjutnya, masuk ke Process Explorer.
Terlihat bahwa proses virus masih berjalan.
Tutup ketiga proses virus secara paksa.
Klik pada proses virus yang terletak “paling bawah” sekali saja. Kemudian tekan tombol “Del” atau “Delete” yang ada pada keyboard 3x secepat mungkin, atau Process Explorer akan dengan tidak sengaja tertutup oleh aksi Anda sendiri.
Bila Anda beruntung, ketiga proses virus di atas akan tertutup dan anda boleh mengelus dada tanda lega. Sekarang Anda boleh mengakhiri VMware dan memulai langkah selanjutnya.
Sampai di sini, proses analisis berjalan sekitar 50%, sisanya adalah langkah sesungguhnya yaitu “Menganalisis hasil rekaman Process Monitor”.
Langkah sebelumnya hanyalah langkah yang dilakukan untuk mendapatkan rekaman tindakan virus. Dan langkah berikut ini adalah langkah yang melibatkan banyak konsentrasi dan daya analisis.
OK. Langsung saja. Jalankan Process Monitor (tidak perlu masuk VMware).
Buka file mk.PML tadi dengan cara menekan tombol Open pada toolbar Process Monitor.
Setelah Anda menekan tombol OK, Process Monitor akan langsung membukanya.
Mulai dari sini Anda dapat melakukan analisis terhadap segala sesuatu yang dilakukan virus terhadap komputer.
Kita dapat mempersempit analisis, misal kita hanya ingin menganalisis registry saja, atau file system saja, atau process saja.
Untuk lebih jelasnya, lihat gambar di bawah ini.
Sampai di sini Anda diharapkan dapat memahami bahwa Process Monitor dapat mendeteksi 3 hal pada sebuah proses.
1. Aktivitas proses yang berhubungan dengan Registry
2. Aktivitas proses yang berhubungan dengan File System
3. Aktivitas proses yang berhubungan dengan Process & Thread
Bila Anda belum tahu apa itu registry, file system, process & thread, penulis menganjurkan pembaca agar mencari tahu definisinya di http://en.wikipedia.org dengan bantuan fitur pencariannya.
Anda cukup melihat pada bagian Operation, Path, dan Result.
Contoh:
Operation : RegCreateKey
Path : HKLM\SOFTWARE\Microsoft\Cryptography\RNG Result : Success
Artinya : Virus membuat sebuah subkey dengan alamat
HKLM\SOFTWARE\Microsoft\Cryptography\RNG
dan hasilnya berjalan dengan sukses
Dan perintah perintah lain tidaklah rumit, karena menggunakan bahasa Inggris. Seperti RegSetValue berarti menulis registry / mengisi suatu data ke dalam suatu value.
Sama halnya dengan menganalisis file system.
Contoh:
Operation : CreateFile
Path : C:\WINDOWS\windows.exe
Result : NAME COLLISION
Artinya : Virus mencoba membuat file bernama windows.exe yang diletakkan di C:\WINDOWS, dan menghasilkan NAME COLLISION, yang artinya nama windows.exe sudah ada, sehingga terjadi tabrakan pemberian nama.
Hasil dari analisis analisis tergantung pada kemampuan bahasa inggris dan analisis Anda sendiri.
Tutorial ini hanya sebagai batu loncatan Anda untuk melakukan eksperimen terhadap virus menggunakan perangkat lunak di atas. Sehingga dengan keterampilan yang Anda miliki, Anda dapat lebih mengembangkan diri melalui eksperimen-eksperimen Anda sendiri.
Semoga tutorial ini dapat memberikan gambaran umum tentang langkah awal yang harus dilakukan dalam menganalisis virus. Dan untuk menghasilkan analisis yang hebat, diperlukan pengalaman- pengalaman berharga yang tidak bisa Anda dapatkan kecuali dengan mencoba, dan terus mencoba bereksperimen terhadap banyak virus. Ditambah pula pengetahuan tentang sistem operasi windows harus ada, paling tidak Anda mempunyai gambaran apa itu registry, bagaimana cara memanipulasinya, bagaimana virus dapat berjalan saat komputer hidup, dan sebagainya.
Selamat mencoba, bagikanlah ilmu yang anda dapat ini kepada teman-teman anda.
Akhir kata ,besar harapan penulis atas kritik dan saran dari para pembaca yang budiman.
Sumber : husni.adil@gmail.com http://adilmakmur.wordpress.com
0 komentar:
Posting Komentar