Ada 2 teknik yang digunakan untuk analisa malware, statik dan dinamis. Analisa dinamis berarti malwarenya dijalankan dan diamati perilakunya. Untuk analisa dinamis ini ada banyak tools yang bisa digunakan. Yang sering digunakan adalah untuk analisa malware secara adalah:
- Sysinternals Process Monitor (Procmon)
- Tools monitoring jaringan seperti Wireshark Windump, Tcpdump, Wireshark, dll.
Dari dua tools diatas biasanya analis udah punya cukup gambaran tentang perilaku malware. Cuman kedua tools ini terpisah dan tidak berhubungan., padahal informasi dari kedua jenis tools tadi saling melengkapi. Misalnya dari Procmon kita mendapatkan info tentang proses apa yang dijalankan malware di komputer. Sementara dari wireshark kita mendapat info, malware melakukan komunikasi ke internet pada IP tertentu.
Disinilah peran ProcDOT, tools analisa malware visual. ProcDOT menggabungkan dua tools diatas, kemudian menampilkan perilaku malware secara visual (graph). Beberapa fungsi ProcDOT diantaranya:
- mengetahui proses yang dijalankan malware, serta aktifitas jaringan apa yang dijalankannya.
- Deteksi dan visualisasi injeksi threat
- waktu dijalankannya proses dan aktifitas jaringan.
- Filter noise
- pencocokan String,heading, trailing dan substring
- Regex
- Info registry keys, file, server
Tools ini dikembangkan oleh Christian Wojner, analis malware di Austria Cert. Tools ini free
Procdot bisa diunduh disini:
video Tutorialnya bisa dilihat disini:
https://procdot.com/videos.htm
Semoga Bermanfaat!