Tahapan analisa malware

Untuk melakukan analisa malware dilakukan beberapa langkah analisa. Pada tulisan ini saya akan share tahapan analisa malware yang banyak digunakan.

  1. Analisa perilaku malware (behaviour analysis): pada langkah ini sampel malware akan dipelajari perilakunya, bagaimana interaksinya dengan bagian dari sistem komputer: sistem file, registry, jaringan dan proses lainnya pada sistem operasi. Setiap perubahan yang dilakukan malware terhadap komponen sistem komputer tadi, atau permintaan akses yang dilakukan malware terhadap komponen tersebut akan diperhatikan dan dianalisa. Ibaratnya kita menangkap seoarang copet, kemudian copet ini kita lepas di tengah kota dan kita biarkan dia beraksi. Nah gerak-gerik copet ini ketika beraksi akan kita perhatikan, catat dan analisa. Untuk melakukan analisa ini, kita harus menyiapkan terlebih dahulu sistem yang terisolasi, yang sudah dilengkapi dengan peralatan untuk mengawasi gerak-gerik malware ini. Beberapa tools yang dapat kita gunakan adalah  Process MonitorProcess ExplorerRegShot dan Wireshark. Ada juga beberapa tools online yang bisa kita gunakan seperti Anubis, Joe Sandbox Document Analyzer , Comodo Automated Analysis System, dll. Selain itu ada juga beberapa framework yang kita bisa gunakan seperti truman, minibis, cuckoo,  zerowine, remnux, dll.
  2. Analisa kode. Langah selanjutnya adalah melakukan reverse-engineering terhadap sampel malware, kemudian dipelajari kode dari malware tersebut. Tools yang digunakan adalah disassembler, debugger, dan decompiler. Decompiler digunakan untuk menganalisa kode malware dalam bentuk bahasa asembler, Dissasembler merubah format binary kode menjadi form assembly yang lebih manusiawi, decompiler digunakan untuk mereka ulang source code dari program. Debugger digunakan untuk menganilisa fungsi dari kode tersebut. Beberapa tools yang biasa digunakan adalah OllyDbg dan IDA Pro Freeware.
  3. Analisa memori digunakan untuk menganalisa pemakaian memori dari sistem yang terinfeksi malware. Proses ini dapat digunakan untuk mengenali malware yang mencoba menyamarkan dirinya, contohnya rootkits.  Beberapa alat bantu yang dapat digunakan pada proses analisa ini adalah The Volatility Framework dan beberapa plugins terkait malware, kemudian ada Memoryze dan Audit Viewer.

Ketiga langkah diatas ini saling terkait dan melengkapi, terkadang tidak harus dilakukan berurutan. Beberapa bahan bacaan lanjutan tentang tema ini bisa dibaca disini

http://digital-forensics.sans.org/blog/2010/10/11/3-phases-malware-analysis-behavioral-code-memory-forensics/

http://zeltser.com/reverse-malware/automated-malware-analysis.html

http://blog.zeltser.com/post/1284687696/malware-analysis-tool-frameworks

tahapan analisa malware
from siberas.de

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.