Dasar Asembly Analisa Malware


Melakukan analisa malware memerlukan berbagai keterampilan. Untuk analisa statik maka pengetahun tentang bahasa Asembly akan sangat berguna. Kali ini saya akan coba share tentang dasar Asembly analisa malware khususnya untuk komputer x86.

Pada sistem berbasis x86 ada 8 jenis register (general purpose registers/GPR).

EAX : Menyimpan value dari function calls
EBX: Digunakan untuk base pada beberapa fungsi aritmetika
ECX: Digunakan untuk menambah index dalam loops
EDX: Digunakan untuk operasi input/output
ESI: Digunakan untuk operasi string sebagai source/seumber
EDI:  Digunakan untuk operasi string sebagai tujuan
EBP : digunakan sebagai  base pointer pada stack frames
ESP : Menunjuk ke  stack paling atas

Register-register ini dapat digunakan untuk menyimpan data seperti variabel atau alamat memori. Kita dapat membaca dari register dan menulis pada register. Setiap register memiliki panjang 32 bit (yaitu 4 byte). Oleh karena itu setiap register dapat menyimpan alamat lengkap titik mana pun pada  memori 4 GB. Kita dapat juga mengakses hanya setengah dari register ini. Untuk itu harus menggunakan AX, BX, CX, DX, SI, DI, BP, SP sebagai pengenal/identifier. Dengan demikian, kita akan selalu mengakses 16 bit yang lebih rendah dari register.

Untuk EAX, EBX, ECX, dan EDX bahkan dimungkinkan untuk membagi setengahnya lagi: Untuk mengakses delapan bit terendah,  harus menggunakan AL, BL dan seterusnya (L untuk rendah). Untuk mengakses
8 bit berikutnya, gunakan AH, BH dan seterusnya (H untuk high). General Purpuse Register tujuan umum juga dapat digunakan untuk beberapa tugas khusus. Sampai disini dulu, insyaallah nanti saya lanjutkan lagi.

Bacaan lebih lanjut:

https://resources.infosecinstitute.com/topic/assembly-basics/

https://gist.github.com/muff-in/ff678b1fda17e6188aa0462a99626121


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *