Bila teknik polymorphic hanya merubah bagian payload, maka teknik Metamorphic melakukan teknik obfuscation pada seluruh bagian malware. Ketika malware menggandakan dirinya, maka malware ini seolah-olah merubah seluruh source codenya. Caranya dengan menggunakan teknik code transposition, substitution of equivalent instruction sequences, change of conditional jumps, dan register reassignment.

Semantics Aware

Berbagai teknik obfuscation ini berhasil dengan mudah mengelabui antivirus yang menggunakan teknik pattern matching. Sehingga malware yang menggunakan teknik obfuscation ini tidak dapat dideteksi oleh antivirus. Nah pada paper ini para penulis mengusulkan sebuah teknik baru untuk mendeteksi malware yang menggunakan teknik obfuscation ini. Teknik ini dinamakan teknik semantic aware malware detection. Idenya adalah membuat algoritma yang memperhatikan semantics of instructions.

Penulis paper  mengembangkan algoritma untuk mendeteksi penggunaan teknik obfuscation. Algoritma ini kemudian diujikan juga pada sebuah tools malware detection. Tools ini dibangun berbasis pada IDA pro disasembler. Hasil pengujiannya adalah:

• algoritma ini berhasil mendeteksi beberapa varian worms dari family yang sama.
• Tidak ada alarm false positive yang timbul ketika tools ini diuji pada file yang bersih (benign)
• Algoritma ini mampu mendeteksi beberapa teknik obfuscation yang digunakan malware. Sebagai perbandingan, Teknik obfuscation ini tidak mampu dideteksi oleh antivirus McAfee VirusScan.

Paper yang sangat menarik. Semoga Bermanfaat!

Paper ini dapat diunduh dari link berikut ini:

https://people.eecs.berkeley.edu/~sseshia/pubdir/oakland05.pdf