Ihsana Computer - Closed Message Favorite Artikel : Membersihkan Flashdisk terinfeksi All Virus Shortcut , baca selengkapnya...!


Analisa File PE yang terinfeksi dan pra-infeksi Virus Polymorphic
Tanggal publikasi: 2011-02-06. Penulis: Jasman. Dibaca: 2797 kali

Hello sobat Ihsana, artikel berikut khusus buat AV-Maker yang sedang menganalisa ceksum polymorphic buat antivirusnya. Apakah ceksum? dalam bahasa inggrisnya mungkin bisa disebut signature, karakter yang membedakan antara satu file dengan file yang lain. lantas apakah PE itu? PE adalah singkatan untuk Portable Executable format adalah kode objek dan DLL, digunakan dalam 32-bit dan versi 64-bit dari sistem operasi Windows. Istilah "portable" mengacu pada fleksibilitas format dalam berbagai lingkungan operasi arsitektur sistem perangkat lunak. Portable Executable format adalah struktur data yang dilengkapi semua informasi yang diperlukan untuk loader OS Windows untuk mengelola kode dieksekusi dibungkus dalam satu/beberapa file. Untuk system operasi windows yang cukup sering terkenal adalah diantaranya: EXE, COM, BAT, SCR, DLL, SYS.

Balik ke topik Ceksum standart yang biasa digunakan adalah MD5, CRC32, Hash. Tetapi ceksum ini tidak efektif untuk pendeteksian virus polymorphic. Kenapa? Polymorphic adalah kode pemograman yang digunakan oleh program untuk bermutasi sekaligus mempertahankan algoritma asli tetap utuh. Dalam arti katanya, perubahan itu sendiri berjalan sesuai kriteria program asli. Jadi untuk semua file yang terinfeksi Polymorphic akan memiliki ceksum yang berubah-ubah.

Lantas bagaimana antivirus mendeteksi virus polymorphic? mungkin salah satu cara dengan menganalisa binary file PE tersebut. Hasil analisa pertama pada binary File PE yang kami dapat yakni:

Virus Polymorphic menambahkan dan mengedit binary yang disebut dengan EP Section dan End Binary. Agar virus ini berkerja EP Section memanggil End Binary yang ada pada pada bagian akhir. Pada beberapa antivirus lokal Pengecekan berdasarkan EP Section pada PE Header mungkin telah banyak diterapkan. Namun sayang virus polymorphic sekarang tidak akan terdeteksi lagi jika hanya menggunakan pendeteksian berdasarkan string pada EP Section saja.

Perhatikan gambar dibawah ini File PE Header yang terinfeksi dan pra-infeksi Virus Polymorphic menambahkan EP Section dan mengedit binary tersebut

ceksum sality / Polymorphic Virus

ceksum sality / Polymorphic Virus

Gambar dibawah ini File PE Header yang terinfeksi dan pra-infeksi Virus Polymorphic mengedit binary tanpa memodifikasi string EP Section

ceksum sality / Polymorphic Virus

ceksum sality / Polymorphic Virus

Silahkan sobat memperhatikan gambar-gambar tersebut secara seksama dan pikirkan apakah string yang cocok untuk ceksum Antivirus sobat. Dan yang musti diingat penggunaan string sebaiknya dikonversi ke binary.

Tunggu analisa selanjutnya...

Komentar

Jika ada yang kurang jelas silahkan bertanya. Silahkan klik RSS atau Email jika ingin jawaban melalui email dan masukan No. Ponsel pada URL Anda jika ingin jawaban melalui ponsel atau Pantau Komentar Lewat Facebook.




Keren kang gambarnya !
Dikirim oleh : Just Pour pada tanggal : 2011-02-06


hehehe... ntar gambarnya kita tambah biar mudah di analisa avatar / smiles
Dikirim oleh : Jasman pada tanggal : 2011-02-08


Ak suka teknik PE.
Apalagi soal EP code dan lain...
Dikirim oleh : Morphic pada tanggal : 2011-02-17


hehehe... metode itu mungkin bisa dipake bwt solusi virus polimorpic.
saya udah coba coding engine heurnya. ada false detection pada file bajakan, keygen atw file yg telah di modikasi.
Dikirim oleh : Jasman pada tanggal : 2011-02-17


mantab gan,..... sya lbih mengerti karna di sertkan gambar,.....
Dikirim oleh : pheonah pada tanggal : 2011-07-13


asli pusing liatnya gak ngerti mas.. keren mas ihsan hebat bener..
Dikirim oleh : obat herbal jantung koroner pada tanggal : 2012-11-21


keren gan..,
Dikirim oleh : pasang iklan gratis pada tanggal : 2013-04-16


salam kenal gan,
Dikirim oleh : Telat Bulan pada tanggal : 2013-04-16


info yang sangat berguna bos...makasih
Dikirim oleh : Pasang iklan baris gratis tanp pada tanggal : 2013-04-16


senang bisa berkunjung k sini
Dikirim oleh : Pembesar Penis pada tanggal : 2013-04-16

Kirim Komentar
Komentar dan jawaban akan terkirim ke Facebook jadi silahkan di like (suka) jika ingin menerima jawaban dari komentar tersebut.
Nama Anda : Fans Page Facebook
URL/Email/No. HP :
Hasil dari enam ditambah delapan ? Jawaban dengan angka

  • Backlink dofollow hanya 5 komentar pertama setiap halamannya
  • Komentar berisi link, cacian, warez dan pornograpi akan dihapus
  • BBCODE aktif hanya untuk [b]bold[/b], [i]italic[/i], [i]underline[/i] dan emotion.
Analisa File PE yang terinfeksi dan pra-infeksi Virus Polymorphic

LINK

HTML [General]
BBCODE [phpBB, vBulletin, dan lain-lain]
Widget Radio Ihsana


PENCARIAN POPULER

Berikut ini pencarian menuju situs ini dan klik link tersebut untuk mencari artikel lama pada domain ini.

, maksud dari resident shield pada avg, cara menolak virus masuk ke flashdisk, penggunaan 360safe, penggunaan 360safe, , , , tips menonaktifkan 360safe, cara instl pc baru kosongan , cara instl pc baru kosongan , cara instl pc baru kosongan , bersihkan virus lnk, bersihkan virus lnk, ,

Agar hasil pencarian lebih tepat, sobat harus pandai dalam menggunakan keywords. Silahkan sobat pahami Tips Menggunakan Keywords di Google.