Jul Ismail

Analisa Malware Metode Dinamis

from bigstockphoto.com

Secara umum terdapat 2 cara untuk melakukan analisa Malware, metode statik dan metode dinamis. Pada tulisan sebelumnya saya telah sharing tentang metode statik, kali ini saya akan coba share tentang analisa malware metode dinamis (dynamic analysis). Dynamic analysis merupakan teknik melakukan analisa malware dengan cara menjalankan sampel malware pada komputer kemudian diamati perilakunya. Tujuan pengamatan  adalah untuk memahami cara kerja malware. Terdapat berbagai teknik pengamatan yang dilakukan pada dynamic analysis, diantaranya:

  • Function Call Monitoring

Salah satu cara pengamatan yang dilakukan pada metode analisa dinamis adalah dengan melakukan function call monitoring. Function merupakan sebuah deretan baris kode yang digunakan untuk menjalankan sebuah tugas tertentu. Untuk memahami bagaimana cara kerja malware salah satu teknik yang digunakan adalah dengan menangkap function call. Proses ini sering disebut sebagai hooking. Beberapa informasi yang coba dipelajari dari proses hooking ini adalah tentang API (Application Programm Interface), System Calls, dan Windows Native API. Proses hooking sendiri dilakukan dengan berbagai cara, bila kita memiliki source code dari sampel malware, maka kita bisa menambahkan fungsi hooking pada bagian source code. Bila kita tidak memiliki source code maka dapat dilakukan proses binary rewriting, menggunakan teknik debugging, mengganti dynamic shared library atau menggunakan fasilitas hooking yang disediakan oleh sistem operasi. Hasil dari proses hooking ini akan diperoleh function call tree yang akan dianalisa lebih lanjut.

  • Function Parameter Analysis

Pengamatan berikutnya yang dilakukan adalah dengan mempelajari parameter atau return value dari sebuah function. Dengan cara ini maka akan diketahui keterhubungan antara function-function yang ada pada sampel malware

  • Information flow tracking

Pada pengamatan ini dipelajari alur data pada sampel malware. Data yang akan dipelajari diberi tanda terlebih dahulu (tainted). Pengamatan information flow tracking ini dilakukan untuk mempelajari informasi seperti direct data dependencies, address dependencies, control flow dependencies, implicit information flow, Implementation of information flow tracking systems, dll

  • Instruction Trace

Pengamatan berikutnya yang dilakukan terhadap sampel adalah instruction trace. Pada pengamatan ini dipelajari instructions apa saja yang dijalankan sampel pada saat sampel dianalisa.

  • Autostart extensibility points

Autostart extensibility points (ASEPs) merupakan mekanisme pada sistem yang mengijinkan sebuah program untuk dijalankan secara otomatis setiap kali sistem operasi melakukan booting. Umumnya malware menambahkan dirinya ke ASEPs, agar malware bisa jalan setiap saat walaupun sistem telah direboot. Sehingga pengamatan terhadap ASEPs sangat penting untuk mengumpulkan informasi tentang sampel malware.

Demikian beberapa cara yang dapat digunakan untuk memahami cara kerja malware dengan melakukan teknik analisa malware dinamis. Analisa malware dinamis memiliki risiko komputer kita terinfeksi malware. Untuk itu sebaiknya dilakukan dengan hati-hati pada sebuah lab malware yang telah dikonfigurasi dengan baik.

Semoga bermanfaat!

Referensi

Egele, M., Scholte, T., Kirda, E., & Kruegel, C. (2012). A survey on automated dynamic malware-analysis techniques and tools. ACM Computing Surveys (CSUR), 44(2), 6.

julismail

Silahkan tuliskan tanggapan, kritik maupun saran