Melakukan analisa malware bukanlah sebuah ilmu pasti. Walaupun terdapat prosedur dan SOP yang harus dilakukan, metode analisa malware tidaklah pernah sama. Selalu berbeda-beda, sehingga seorang analis harus flexibel. Bahkan ada yang menyebut melakukan analisa malware merupakan seni. Dennis Distler dalam tulisannya membagi pengalaman mengenai metode analisa malware yang dia lakukan.
Hal pertama yang dilakukan adalah membuat sebuah malware lab. Dennis melakukan analisa pada sebuah komputer dengan 4 Virtual mesin. Ada satu VM OS windows yang berperan sebagai komputer korban, satu Windows Server yang menyediakan layanan Web server, Mail dan FTP Server. Sebuah Linux server yang menjalankan layanan web, mail dan FTP server, dan sebuah Server Linux berperan sebagai remote-host yang menyediakan layanan DHCP, DNS dan TCP dump. Semua VM dikonfigurasikan Host-Only. Untuk mencegah penyebaran malware, komputer ini tidak terhubung ke jaringan.
Setelah instalasi VM, install tools yang dibutuhkan. Setelah itu ambil MD5 Hash dari seluruh tools. Kemudian kita akan mengambil baseline dari sistem (Snapshot dari awal sistem). Baseline ini nanti akan menjadi pembanding setelah kita melakukan analisa malware, untuk mengetahui perubahan apa saja yang dilakukan malware pada sistem.
Langkah pertama yang dilakukan setelah mendapatkan sampel malware adalah menjalankan antivirus. Sangat disarankan melakukan scanning dengan beberapa antivirus. Berikutnya adalah membuka hex editor untuk mempelajari jenis malware. Disini kita bisa temukan apakah malware menggunakan aplikasi packer. Beberapa aplikasi packer melakukan kompresi pada malware. Untuk itu kita harus melakukan unpacking (dekompresi) malware. Unpacking dilakukan dengan aplikasi yang dapat melakukan dekompresi. Sebelum melakukan unpacking sebaiknya kita membuat kopi dari malware. Karena terkadang unpacking tidak selalu berhasil, sehingga harus dicoba dengan beberapa tools yang berbeda.
Kemudian kita analisa dengan aplikasi yang bisa mencari strings untuk menemukan kode ASCII, Unicode dan informasi lainnya pada malware. Dengan cara ini kita bisa dapatkan informasi seperti protokol, ports, nama file IP address dan informasi lainnya yang dimasukkan dalam kode malware.
Langkah berikutnya membongkar malware menggunakan dissassembler. Dari hasil dissassembler kita fokus untuk mempelajari system calls yang digunakan malware pada berbagai DLL, dan perubahan apa yang dilakukan malware pada sistem. Langkah-langkah diatas merupakan bagian dari analisa statik. Selanjutnya kita melakukan analisa dinamis malware. Tentang langkah-langkah analisa dinamis akan saya lanjutkan pada tulisan berikutnya