Konsep Dasar Malware Analysis Pengertian
8/19/2011
Konsep Dasar Malware Analysis
Mochammad Firdaus Agung
“Pengertian serta penjelasan metode secara umum
mengenai Malware Analysis”
Konsep Dasar Malware Analysis
Mochammad Firdaus Agung
Pengertian Malware Analysis
Malware Analysis atau Analisis Malware adalah sebuah kegiatan untuk melakukan analisa
dan pemeriksaan terhadap sebuah file digital yang dicurigai sebagai malware (program
perusak) di dalam komputer. Kegiatan Malware Analysis sendiri saat ini masih spesifik
dilakukan oleh sebagian orang terutama mereka yang berprofesi sebagai praktisi komputer
khususnya di bidang konsentrasi keamanan komputer.
Pada kegiatan Malware Analysis sebuah file diperiksa melalui beberapa tahapan dan metode
yang telah disusun sedemikian rupa untuk mampu mendapatkan kesimpulan terhadap file
yang diperiksa tersebut. Pada praktiknya kegiatan Malware Analysis membutuhkan sumber
daya manusia / tenaga ahli yang memahami aktivitas malware terutama dalam kaitannya
dengan proses dan jaringan di dalam komputer.
Alasan Melakukan Malware Analysis
Disadari bersama bahwa perkembangan malware saat ini begitu pesat terutama dengan
semakin mudahnya akses antar komputer seperti melalui jaringan internet atau akses fisik
melalui perangkat seperti flashdisk. Saat ini komputer sangat rentan untuk mengalami infeksi
dari malware. Keberadaan malware sendiri akan menimbulkan kerugian di komputer seperti
menghambat proses komputerisasi hingga mengakibatkan komputer menjadi tidak bisa untuk
digunakan sebagaimana mestinya.
Celakanya penyebaran malware saat ini sangat erat kaitannya dengan aktivitas hacking.
Kegiatan pencurian file serta kemampuan untuk mengendalikan komputer korban dari jarak
jauh biasanya dilakukan oleh para hacker memanfaatkan media malware untuk bisa masuk ke
dalam komputer korban secara lebih mudah dan yang lebih berbahaya lagi karena biasanya
korban tidak menyadari bila komputernya telah disusupi oleh malware.
Selain penyebaran malware yang begitu mudah dan cepat serta kesadaran akan kerugian yang
dihadapi akibat infeksi dari malware ini sangat berbahaya. Kompleksitas malware juga terus
berkembang dengan berbagai jenis baru yang muncul seperti virus, worm, trojan, botnet,
spyware dan jenis lainnya yang tentunya setiap jenis memiliki cara penanganan yang berbeda
pula. Selain itu malware juga memiliki kemampuan untuk “menyamar” berbentuk seperti
file-file umum yang akrab bagi pengguna komputer dengan menggunakan icon seperti file
biasa dan memiliki ekstensi file seperti .jpg, .dll, .exe, .mp3, .doc, .txt yang bisa saja
mengecoh pengguna komputer untuk mengaktifkannya.
Melalui kegiatan Malware Analysis dapat diperiksa secara detail dan terperinci mengenai
fungsi asli dari file yang diperiksa dan bisa diambil kesimpulan dengan jelas untuk
menentukan bila file tersebut merupakan malware atau file biasa. Sehingga dapat dimengerti
bila kegiatan Malware Analysis sangat erat dengan aktivitas upaya keamanan komputer.
Konsep Dasar Malware Analysis
Page 2
Persiapan Melakukan Malware Analysis
Menjalankan mesin virtual dengan VirtualBox.
Kegiatan Malware Analysis sendiri harus dipersiapkan secara terperinci dan direncanakan
dengan matang. Karena malware dapat menimbulkan kerusakkan di komputer maka
dibutuhkan lingkungan komputer yang aman untuk mampu melakukan kegiatan Malware
Analysis dengan baik untuk memberikan hasil yang lengkap dan akurat. Biasanya kegiatan
Malware Analysis dilakukan menggunakan mesin virtual. Contoh software untuk mesin
virtual antara lain: Vmware, Virtual Box, Virtual PC, dll.
Penggunaan mesin virtual memungkinkan untuk kegiatan Malware Analysis dilakukan di
lingkungan komputer seperti pada keadaan yang nyata namun dengan resiko yang hampir
tidak ada karena mesin virtual diatur untuk tidak memberikan pengaruh terhadap komputer
yang sebenarnya.
Pengaturan pada mesin virtual untuk kegiatan Malware Analysis meliputi sistem operasi yang
digunakan serta seluruh konfigurasinya termaksud pertimbangan untuk mampu terhubung
dengan jaringan dan akses internet serta adanya sambungan dengan perangkat fisik seperti
hard disk dan lainnya.
Harus diperhatikan pula pertimbangan untuk memilih sistem operasi yang akan digunakan
untuk kegiatan Malware Analysis. Saat ini yang umum digunakan adalah sistem operasi dari
Microsoft Windows seperti misalnya Windows XP yang sudah dikenal sangat mudah untuk
terinfeksi oleh malware.
Konfigurasi sistem operasi untuk Malware Analysis biasanya dilakukan sesuai kebutuhan.
Hanya saja biasanya pada Malware Analysis tidak dipasang antivirus di komputer dan juga
harus dipertimbangkan penggunaan firewall. Lingkungan sistem operasi dikonfigurasi
sedemikian rupa untuk mengakomodasi kegiatan Malware Analysis.
Konsep Dasar Malware Analysis
Page 3
Metode dan Tahapan Malware Analysis
Rangkaian tahapan dan metode yang digunakan pada kegiatan Malware Analysis telah
dirancang sedemikian rupa dengan tahapan yang berjenjang dan mampu menghasilkan
kesimpulan yang akurat terhadap file yang diperiksa.
Melakukan kegiatan Malware Analysis tak ubahnya seperti sedang bermain “puzzle”. Kita
ditugaskan untuk mengumpulkan informasi sebanyak-banyaknya mengenai file yang
diperiksa untuk selanjutnya mampu disusun menjadi sebuah informasi lengkap yang
mendeskripsikan file tersebut secara keseluruhan.
Meski kegiatan Malware Analysis banyak menggunakan bantuan tools namun pada dasarnya
peranan manusia tetaplah menjadi bagian terpenting. Manusia diposisikan sebagai pemegang
kontrol agar kegiatan Malware Analysis sesuai sebagaimana mestinya. Pemanfaatan tools
hanya untuk menampilkan informasi yang didapatkan dari file yang diperiksa, sementara
manusia berperan untuk membuat kesimpulan dari informasi yang ada pada tools. Tentunya
komputer bisa saja salah atau memberikan informasi yang kurang lengkap maka manusia
yang harus memiliki pengetahuan lebih dan tidak hanya bergantung dari tools.
Serangkaian metode pada kegiatan Malware Analysis adalah Surface Analysis, Runtime
Analysis dan Static Analysis. Setiap metode menggunakan tools yang berbeda dan dilakukan
secara berurutan untuk memberikan informasi yang saling berkaitan agar bisa diambil
kesimpulan tentang file yang diperiksa secara lengkap.
Konsep Dasar Malware Analysis
Page 4
Surface Analysis
Metode surface analysis adalah memeriksa file dari luar, memiliki ciri bahwa pemeriksaan
pada tahap ini tidak melakukan eksekusi terhadap file yang diperiksa sehingga file tidak
diaktifkan. Sesuai dengan namanya “surface” maka pemeriksaan tahap ini hanya memeriksa
file dari permukaan saja sehingga informasi yang didapatkan juga terbatas.
Surface Analysis menggunakan CFF Explorer.
Pemeriksaan file melalui metode surface analysis mampu memberikan informasi seperti jenis
file asli yang diperiksa, ukuran file sebenarnya, file lain pada file yang diperiksa. Surface
analysis mampu memberikan informasi yang akurat untuk mengetahui malware yang
menyamar dengan menjadi icon atau ekstensi lain. Dari pemeriksaan ini juga didapatkan
hash function atau fingerprint (MD5, SHA-1, dll) sebagai identitas unik dari file yang
diperiksa, biasanya fingerprint inilah yang digunakan oleh antivirus untuk mendeteksi
malware.
Informasi yang didapatkan dari surface analysis sudah bisa memberikan gambaran bila file
yang kita periksa termasuk malware atau file biasa. Meski demikian diperlukan informasi
yang lebih detail untuk memberikan keterangan lebih lengkap mengenai file yang diperiksa.
Beberapa tools yang digunakan pada metode surface analysis adalah HashTab dan digest.exe
(Hash Analysis), TrID (File Analysis), BinText dan strings.exe (String Analysis), HxD
(Binary Editor), CFF Explorer (Pack Analysis), dan 7zip (Archiver).
Runtime Analysis
Pada metode runtime analysis ini sebuah file yang diperiksa akan diaktifkan untuk
selanjutnya mampu dikumpulkan informasi mengenai dampaknya terhadap komputer ketika
file malware menjalankan prosesnya. Sehingga bisa diketahui kegiatan apa saja yang
dilakukan oleh malware saat berhasil menginfeksi sebuah komputer.
Konsep Dasar Malware Analysis
Page 5
Runtime Analysis menggunakan Process Monitor.
Tahapan runtime analysis akan memeriksa komputer dengan secara keseluruhan seperti
proses yang berjalan di komputer, perubahan registry, aktivitas komunikasi internet dan
peristiwa janggal lainnya yang biasa terjadi ketika sebuah komputer terinfeksi malware.
Melakukan aktivitas malware di dalam komputer tergolong cukup sulit karena biasanya
malware memiliki proses dengan nama yang sama seperti proses default yang ada di sistem
operasi. Terlebih lagi malware kerap menyembunyikan dirinya di dalam komputer sehingga
sulit untuk bisa menemukannya. Meski demikian biasanya malware memiliki ciri yang unik
dengan menjalankan aktivitas yang tidak biasa dan berbeda dengan program lainnya.
Berikut beberapa aktivitas khas yang dilakukan malware:
1. Modifikasi (mengubah, menghapus, merusak) file yang ada di komputer.
2. Mengubah registry.
3. Melakukan upaya untuk koneksi internet.
4. Mematikan proses antivirus dan firewall.
Analisis pada metode runtime haruslah sangat peka dan disarankan agar kita mengetahui
kondisi default pada komputer , sehingga bila ada perubahan sekecil apapun yang diakibatkan
oleh malware maka dapat dengan mudah untuk langsung diketahui.
Beberapa tools yang digunakan untuk Runtime Analysis : Process Explorer, Regshot,
Wireshark, TCPView, Process Monitor, FUNdelete, Autoruns, Streams/ADSSpy. Tools pada
server untuk membuat simulasi serangan malware secara lebih nyata menggunakan tools
seperti: FakeDNS, netcat/ncat, tcpdump/tshark.
Konsep Dasar Malware Analysis
Page 6
Static Analysis
Selanjutnya malware akan dianalisa dengan menggunakan metode Static Analysis. Metode
ini seperti kegiatan testing pada perangkat lunak secara white box. Pada Static Analysis kita
akan melihat secara langsung source code yang dituliskan pada program malware tersebut.
Sehingga informasi yang didapatkan sangatlah lengkap dan bisa memberikan gambaran yang
sangat detail tentang mekanisme kerja malware tersebut secara keseluruhan.
Meski demikian sebagai sebuah file yang sudah terkompilasi maka kita tidak bisa untuk
melihat source code sebagai sebuah bahasa pemrograman yang utuh. Karena executable file
akan berbentuk binary code sehingga yang bisa dilakukan adalah mengubahnya menjadi
berbentuk assembly code (bahasa mesin).
Static Analysis menggunakan IDA Pro.
Metode Static Analysis membutuhkan ahli yang mampu memahami bahasa mesin terutama
arsitektur sebuah program. Lebih baik lagi seorang ahli yang sudah terbiasa memahami
struktur malware sehingga bisa langsung membuat gambaran pasti cara kerja malware dari
bahasa mesin tersebut. Terapan dari Static Analysis mampu memberikan informasi detail
untuk kegiatan tahap lanjut yaitu kegiatan reverse engineering.
Contoh tools untuk Static Analysis : IDA Pro (Disassembler); Hex-Rays, .NET Reflector, and
VB Decompiler (Decompiler); MSDN Library, Google (Library); OllyDbg, Immunity
Debugger, WinDbg/Syser (Debugger); HxD, WinHex, 010editor (Hex Editor); Python, Linux
Shell/Cygwin/MSYS (Others Programming).
Konsep Dasar Malware Analysis
Page 7
Kegiatan Setelah Melakukan Malware Analysis
Setelah serangkaian tahapan dan metode Malware Analysis sudah dilakukan. Maka dapat
dilakukan penyusunan informasi mengenai malware yang diperiksa tersebut. Sekiranya
beberapa hal yang bisa menjadi fokus kegiatan setelah melakukan Malware Analysis adalah
sebagai berikut.
1. Final Conclusion, membuat kesimpulan akhir apakah file yang diperiksa merupakan
malware atau hanya file biasa.
2. Mengklasifikasikan malware tersebut berjenis apa.
3. Membuat informasi secara umum dan detail mengenai malware yang diperiksa seperti
tipe file, fingerprint dan informasi lainnya yang diusahakan dicari sebanyakbanyaknya terutama yang bersifat spesifik sehingga bisa menjadi semacam indikasi
bagi pengguna komputer lain. Tampilan informasi secara umum kemudian mendetail
akan memudahkan pengguna awam tentang informasi mengenai malware.
4. Membuat daftar dampak yang ditimbulkan oleh malware bila berhasil menginfeksi
komputer dari hasil Malware Analysis (terutama dari metode Runtime Analysis dan
Static Analysis). Dampak yang dituliskan termasuk pula perubahan spesifik yang
dilakukan oleh malware (registry, file, proses komputer).
5. Memberikan informasi tentang celah bagaimana akhirnya malware dapat menyerang
komputer dan sertakan juga cara penanganan atau penyelesaian agar bisa terhindar
dari malware tersebut. Berikan rekomendasi untuk menghindari malware tersebut
dan indikasi mengenai keberadaan malware tersebut di dalam komputer.
6. Membuat sebuah pusat data yang menyimpan informasi tentang seluruh malware
yang pernah dilakukan analisis beserta hasil kesimpulan analisisnya sehingga
nantinya bisa menjadi pustaka atau referensi bagi penelitian selanjutnya.
7. Malware Analysis bisa dilanjutkan untuk kegiatan reverse engineering atau menjadi
bahan penelitian untuk membuat antivirus.
Penutup
Kegiatan Malware Analysis melakukan analisa dan pemeriksaan untuk memastikan bila
sebuah file merupakan malware atau sebagai file biasa. Hasil analisis akan memberikan
informasi yang detail tentang malware yang diperiksa. Metode pada Malware Analysis
adalah Surface Analysis, Runtime Analysis dan Static Analysis.
Meski memanfaatkan berbagai tools namun Malware Analysis harus dilakukan dengan teliti
untuk memberikan hasil analisis yang akurat dengan informasi yang mendalam. Kegiatan
Malware Analysis membutuhkan sumber daya manusia yang memiliki keahlian terutama
dalam hal pengetahuan tentang malware dan menguasai bahasa mesin untuk mampu
membaca assembly code. Dari Static Analysis bisa dilanjutkan dengan kegiatan reverse
engineering. Pemanfaatan fingerprint bisa digunakan sebagai database pada antivirus.
Konsep Dasar Malware Analysis
Page 8
Konsep Dasar Malware Analysis
Mochammad Firdaus Agung
“Pengertian serta penjelasan metode secara umum
mengenai Malware Analysis”
Konsep Dasar Malware Analysis
Mochammad Firdaus Agung
Pengertian Malware Analysis
Malware Analysis atau Analisis Malware adalah sebuah kegiatan untuk melakukan analisa
dan pemeriksaan terhadap sebuah file digital yang dicurigai sebagai malware (program
perusak) di dalam komputer. Kegiatan Malware Analysis sendiri saat ini masih spesifik
dilakukan oleh sebagian orang terutama mereka yang berprofesi sebagai praktisi komputer
khususnya di bidang konsentrasi keamanan komputer.
Pada kegiatan Malware Analysis sebuah file diperiksa melalui beberapa tahapan dan metode
yang telah disusun sedemikian rupa untuk mampu mendapatkan kesimpulan terhadap file
yang diperiksa tersebut. Pada praktiknya kegiatan Malware Analysis membutuhkan sumber
daya manusia / tenaga ahli yang memahami aktivitas malware terutama dalam kaitannya
dengan proses dan jaringan di dalam komputer.
Alasan Melakukan Malware Analysis
Disadari bersama bahwa perkembangan malware saat ini begitu pesat terutama dengan
semakin mudahnya akses antar komputer seperti melalui jaringan internet atau akses fisik
melalui perangkat seperti flashdisk. Saat ini komputer sangat rentan untuk mengalami infeksi
dari malware. Keberadaan malware sendiri akan menimbulkan kerugian di komputer seperti
menghambat proses komputerisasi hingga mengakibatkan komputer menjadi tidak bisa untuk
digunakan sebagaimana mestinya.
Celakanya penyebaran malware saat ini sangat erat kaitannya dengan aktivitas hacking.
Kegiatan pencurian file serta kemampuan untuk mengendalikan komputer korban dari jarak
jauh biasanya dilakukan oleh para hacker memanfaatkan media malware untuk bisa masuk ke
dalam komputer korban secara lebih mudah dan yang lebih berbahaya lagi karena biasanya
korban tidak menyadari bila komputernya telah disusupi oleh malware.
Selain penyebaran malware yang begitu mudah dan cepat serta kesadaran akan kerugian yang
dihadapi akibat infeksi dari malware ini sangat berbahaya. Kompleksitas malware juga terus
berkembang dengan berbagai jenis baru yang muncul seperti virus, worm, trojan, botnet,
spyware dan jenis lainnya yang tentunya setiap jenis memiliki cara penanganan yang berbeda
pula. Selain itu malware juga memiliki kemampuan untuk “menyamar” berbentuk seperti
file-file umum yang akrab bagi pengguna komputer dengan menggunakan icon seperti file
biasa dan memiliki ekstensi file seperti .jpg, .dll, .exe, .mp3, .doc, .txt yang bisa saja
mengecoh pengguna komputer untuk mengaktifkannya.
Melalui kegiatan Malware Analysis dapat diperiksa secara detail dan terperinci mengenai
fungsi asli dari file yang diperiksa dan bisa diambil kesimpulan dengan jelas untuk
menentukan bila file tersebut merupakan malware atau file biasa. Sehingga dapat dimengerti
bila kegiatan Malware Analysis sangat erat dengan aktivitas upaya keamanan komputer.
Konsep Dasar Malware Analysis
Page 2
Persiapan Melakukan Malware Analysis
Menjalankan mesin virtual dengan VirtualBox.
Kegiatan Malware Analysis sendiri harus dipersiapkan secara terperinci dan direncanakan
dengan matang. Karena malware dapat menimbulkan kerusakkan di komputer maka
dibutuhkan lingkungan komputer yang aman untuk mampu melakukan kegiatan Malware
Analysis dengan baik untuk memberikan hasil yang lengkap dan akurat. Biasanya kegiatan
Malware Analysis dilakukan menggunakan mesin virtual. Contoh software untuk mesin
virtual antara lain: Vmware, Virtual Box, Virtual PC, dll.
Penggunaan mesin virtual memungkinkan untuk kegiatan Malware Analysis dilakukan di
lingkungan komputer seperti pada keadaan yang nyata namun dengan resiko yang hampir
tidak ada karena mesin virtual diatur untuk tidak memberikan pengaruh terhadap komputer
yang sebenarnya.
Pengaturan pada mesin virtual untuk kegiatan Malware Analysis meliputi sistem operasi yang
digunakan serta seluruh konfigurasinya termaksud pertimbangan untuk mampu terhubung
dengan jaringan dan akses internet serta adanya sambungan dengan perangkat fisik seperti
hard disk dan lainnya.
Harus diperhatikan pula pertimbangan untuk memilih sistem operasi yang akan digunakan
untuk kegiatan Malware Analysis. Saat ini yang umum digunakan adalah sistem operasi dari
Microsoft Windows seperti misalnya Windows XP yang sudah dikenal sangat mudah untuk
terinfeksi oleh malware.
Konfigurasi sistem operasi untuk Malware Analysis biasanya dilakukan sesuai kebutuhan.
Hanya saja biasanya pada Malware Analysis tidak dipasang antivirus di komputer dan juga
harus dipertimbangkan penggunaan firewall. Lingkungan sistem operasi dikonfigurasi
sedemikian rupa untuk mengakomodasi kegiatan Malware Analysis.
Konsep Dasar Malware Analysis
Page 3
Metode dan Tahapan Malware Analysis
Rangkaian tahapan dan metode yang digunakan pada kegiatan Malware Analysis telah
dirancang sedemikian rupa dengan tahapan yang berjenjang dan mampu menghasilkan
kesimpulan yang akurat terhadap file yang diperiksa.
Melakukan kegiatan Malware Analysis tak ubahnya seperti sedang bermain “puzzle”. Kita
ditugaskan untuk mengumpulkan informasi sebanyak-banyaknya mengenai file yang
diperiksa untuk selanjutnya mampu disusun menjadi sebuah informasi lengkap yang
mendeskripsikan file tersebut secara keseluruhan.
Meski kegiatan Malware Analysis banyak menggunakan bantuan tools namun pada dasarnya
peranan manusia tetaplah menjadi bagian terpenting. Manusia diposisikan sebagai pemegang
kontrol agar kegiatan Malware Analysis sesuai sebagaimana mestinya. Pemanfaatan tools
hanya untuk menampilkan informasi yang didapatkan dari file yang diperiksa, sementara
manusia berperan untuk membuat kesimpulan dari informasi yang ada pada tools. Tentunya
komputer bisa saja salah atau memberikan informasi yang kurang lengkap maka manusia
yang harus memiliki pengetahuan lebih dan tidak hanya bergantung dari tools.
Serangkaian metode pada kegiatan Malware Analysis adalah Surface Analysis, Runtime
Analysis dan Static Analysis. Setiap metode menggunakan tools yang berbeda dan dilakukan
secara berurutan untuk memberikan informasi yang saling berkaitan agar bisa diambil
kesimpulan tentang file yang diperiksa secara lengkap.
Konsep Dasar Malware Analysis
Page 4
Surface Analysis
Metode surface analysis adalah memeriksa file dari luar, memiliki ciri bahwa pemeriksaan
pada tahap ini tidak melakukan eksekusi terhadap file yang diperiksa sehingga file tidak
diaktifkan. Sesuai dengan namanya “surface” maka pemeriksaan tahap ini hanya memeriksa
file dari permukaan saja sehingga informasi yang didapatkan juga terbatas.
Surface Analysis menggunakan CFF Explorer.
Pemeriksaan file melalui metode surface analysis mampu memberikan informasi seperti jenis
file asli yang diperiksa, ukuran file sebenarnya, file lain pada file yang diperiksa. Surface
analysis mampu memberikan informasi yang akurat untuk mengetahui malware yang
menyamar dengan menjadi icon atau ekstensi lain. Dari pemeriksaan ini juga didapatkan
hash function atau fingerprint (MD5, SHA-1, dll) sebagai identitas unik dari file yang
diperiksa, biasanya fingerprint inilah yang digunakan oleh antivirus untuk mendeteksi
malware.
Informasi yang didapatkan dari surface analysis sudah bisa memberikan gambaran bila file
yang kita periksa termasuk malware atau file biasa. Meski demikian diperlukan informasi
yang lebih detail untuk memberikan keterangan lebih lengkap mengenai file yang diperiksa.
Beberapa tools yang digunakan pada metode surface analysis adalah HashTab dan digest.exe
(Hash Analysis), TrID (File Analysis), BinText dan strings.exe (String Analysis), HxD
(Binary Editor), CFF Explorer (Pack Analysis), dan 7zip (Archiver).
Runtime Analysis
Pada metode runtime analysis ini sebuah file yang diperiksa akan diaktifkan untuk
selanjutnya mampu dikumpulkan informasi mengenai dampaknya terhadap komputer ketika
file malware menjalankan prosesnya. Sehingga bisa diketahui kegiatan apa saja yang
dilakukan oleh malware saat berhasil menginfeksi sebuah komputer.
Konsep Dasar Malware Analysis
Page 5
Runtime Analysis menggunakan Process Monitor.
Tahapan runtime analysis akan memeriksa komputer dengan secara keseluruhan seperti
proses yang berjalan di komputer, perubahan registry, aktivitas komunikasi internet dan
peristiwa janggal lainnya yang biasa terjadi ketika sebuah komputer terinfeksi malware.
Melakukan aktivitas malware di dalam komputer tergolong cukup sulit karena biasanya
malware memiliki proses dengan nama yang sama seperti proses default yang ada di sistem
operasi. Terlebih lagi malware kerap menyembunyikan dirinya di dalam komputer sehingga
sulit untuk bisa menemukannya. Meski demikian biasanya malware memiliki ciri yang unik
dengan menjalankan aktivitas yang tidak biasa dan berbeda dengan program lainnya.
Berikut beberapa aktivitas khas yang dilakukan malware:
1. Modifikasi (mengubah, menghapus, merusak) file yang ada di komputer.
2. Mengubah registry.
3. Melakukan upaya untuk koneksi internet.
4. Mematikan proses antivirus dan firewall.
Analisis pada metode runtime haruslah sangat peka dan disarankan agar kita mengetahui
kondisi default pada komputer , sehingga bila ada perubahan sekecil apapun yang diakibatkan
oleh malware maka dapat dengan mudah untuk langsung diketahui.
Beberapa tools yang digunakan untuk Runtime Analysis : Process Explorer, Regshot,
Wireshark, TCPView, Process Monitor, FUNdelete, Autoruns, Streams/ADSSpy. Tools pada
server untuk membuat simulasi serangan malware secara lebih nyata menggunakan tools
seperti: FakeDNS, netcat/ncat, tcpdump/tshark.
Konsep Dasar Malware Analysis
Page 6
Static Analysis
Selanjutnya malware akan dianalisa dengan menggunakan metode Static Analysis. Metode
ini seperti kegiatan testing pada perangkat lunak secara white box. Pada Static Analysis kita
akan melihat secara langsung source code yang dituliskan pada program malware tersebut.
Sehingga informasi yang didapatkan sangatlah lengkap dan bisa memberikan gambaran yang
sangat detail tentang mekanisme kerja malware tersebut secara keseluruhan.
Meski demikian sebagai sebuah file yang sudah terkompilasi maka kita tidak bisa untuk
melihat source code sebagai sebuah bahasa pemrograman yang utuh. Karena executable file
akan berbentuk binary code sehingga yang bisa dilakukan adalah mengubahnya menjadi
berbentuk assembly code (bahasa mesin).
Static Analysis menggunakan IDA Pro.
Metode Static Analysis membutuhkan ahli yang mampu memahami bahasa mesin terutama
arsitektur sebuah program. Lebih baik lagi seorang ahli yang sudah terbiasa memahami
struktur malware sehingga bisa langsung membuat gambaran pasti cara kerja malware dari
bahasa mesin tersebut. Terapan dari Static Analysis mampu memberikan informasi detail
untuk kegiatan tahap lanjut yaitu kegiatan reverse engineering.
Contoh tools untuk Static Analysis : IDA Pro (Disassembler); Hex-Rays, .NET Reflector, and
VB Decompiler (Decompiler); MSDN Library, Google (Library); OllyDbg, Immunity
Debugger, WinDbg/Syser (Debugger); HxD, WinHex, 010editor (Hex Editor); Python, Linux
Shell/Cygwin/MSYS (Others Programming).
Konsep Dasar Malware Analysis
Page 7
Kegiatan Setelah Melakukan Malware Analysis
Setelah serangkaian tahapan dan metode Malware Analysis sudah dilakukan. Maka dapat
dilakukan penyusunan informasi mengenai malware yang diperiksa tersebut. Sekiranya
beberapa hal yang bisa menjadi fokus kegiatan setelah melakukan Malware Analysis adalah
sebagai berikut.
1. Final Conclusion, membuat kesimpulan akhir apakah file yang diperiksa merupakan
malware atau hanya file biasa.
2. Mengklasifikasikan malware tersebut berjenis apa.
3. Membuat informasi secara umum dan detail mengenai malware yang diperiksa seperti
tipe file, fingerprint dan informasi lainnya yang diusahakan dicari sebanyakbanyaknya terutama yang bersifat spesifik sehingga bisa menjadi semacam indikasi
bagi pengguna komputer lain. Tampilan informasi secara umum kemudian mendetail
akan memudahkan pengguna awam tentang informasi mengenai malware.
4. Membuat daftar dampak yang ditimbulkan oleh malware bila berhasil menginfeksi
komputer dari hasil Malware Analysis (terutama dari metode Runtime Analysis dan
Static Analysis). Dampak yang dituliskan termasuk pula perubahan spesifik yang
dilakukan oleh malware (registry, file, proses komputer).
5. Memberikan informasi tentang celah bagaimana akhirnya malware dapat menyerang
komputer dan sertakan juga cara penanganan atau penyelesaian agar bisa terhindar
dari malware tersebut. Berikan rekomendasi untuk menghindari malware tersebut
dan indikasi mengenai keberadaan malware tersebut di dalam komputer.
6. Membuat sebuah pusat data yang menyimpan informasi tentang seluruh malware
yang pernah dilakukan analisis beserta hasil kesimpulan analisisnya sehingga
nantinya bisa menjadi pustaka atau referensi bagi penelitian selanjutnya.
7. Malware Analysis bisa dilanjutkan untuk kegiatan reverse engineering atau menjadi
bahan penelitian untuk membuat antivirus.
Penutup
Kegiatan Malware Analysis melakukan analisa dan pemeriksaan untuk memastikan bila
sebuah file merupakan malware atau sebagai file biasa. Hasil analisis akan memberikan
informasi yang detail tentang malware yang diperiksa. Metode pada Malware Analysis
adalah Surface Analysis, Runtime Analysis dan Static Analysis.
Meski memanfaatkan berbagai tools namun Malware Analysis harus dilakukan dengan teliti
untuk memberikan hasil analisis yang akurat dengan informasi yang mendalam. Kegiatan
Malware Analysis membutuhkan sumber daya manusia yang memiliki keahlian terutama
dalam hal pengetahuan tentang malware dan menguasai bahasa mesin untuk mampu
membaca assembly code. Dari Static Analysis bisa dilanjutkan dengan kegiatan reverse
engineering. Pemanfaatan fingerprint bisa digunakan sebagai database pada antivirus.
Konsep Dasar Malware Analysis
Page 8