Analisa Malware dengan PE [Part I]

Posted by Bagas Dika Anggoro on Saturday, December 11, 2010

Sebelumnya mohon maap ya untuk para master dan bagi kamu yang sudah mudeng tentang PE, mungkin artikel ini tidak semenarik seperti yang kamu harapkan :) Hehehehe.. sekarang, saya akan menjelaskan tentang bagaimana cara menganalisa malware dengan menggunakan PE. Malware yang dimaksud disini tidak harus sebuah virus, tapi sebuah program yang mempunyai kelainan pada strukturnya dibandingkan dengan program yang lain. Cara ini di SIG – Virus Control disebut sebagai PE Heuristic yang mendeteksi struktur file yang janggal.

  1. Cara pertama sudah saya jelaskan di artikel Menganalisa Barang Bawaan file Executable.
  2. Cara yang kedua adalah mengenai section yang dibawa oleh sebuah file executable. File Executable standar, biasanya mengandung 3 section di dalamnya. Secara berturut – turut ialah .text, .data, .rsrc. Nama section ini tidak boleh melebihi dari 7 karakter. Nah, 3 section tersebut mengandung data masing, mulai dari section .text mengandung CS atau sebuah Code Segment. Selanjutnya adalah .data yang mengandung DS atau sebuah Data Segment. Dan yang terakhir adalah .rsrc, dari namanya sudah dapat ditebak, di section ini terdapat data resource yang disimpan di executable tersebut. Jika nama .text, .data, dan .rsrc merupakan nama standar yang diberikan, maka bagaimana dengan nama lain yang mungkin sebuah section buatan malware ?? Sekarang siapkan sebuah PE Viewer milik anda, atau anda bisa mengcompile sendiri source code PE Viewernya (disini). Saya akan menggunakan PEiD untuk membuka file suspect tersebut. Saya akan membuka sebuah program bernama Netsky.exe. Dan dapat kita lihat dari nama sectionnya mempunyai nama yang tidak standar. Secara berturut – turut, nama section tersebut adalah 00000202, 000001BD, 000000E1, 00000156, dan 00006c2c. Tidak ada .text, .data, dan .rsrc ?? Dan ini bisa kita gunakan sebagai PE Heuristic [1]. Tapi perlu diingat, tidak semua program jahat dan baik menggunakan 3 nama section tersebut. Seperti file yang terpack oleh packer UPX contohnya, memiliki 3 nama section (UPX1, UPX2, dan .rsrc). Jadi jangan asal suspect file yaaa !
  3. Lanjut ke cara yang berikutnya.. Hem2 masih berkaitan dengan section. Sekarang kita menganalisa jenis section secara mendalam, haghag. . :)) Setiap struktur section memiliki attribut masing – masing, dimana attribut tersebut menandakan sifat dari section tersebut, bisa Readable, Writeable, executable as code, dsb. Saya kasih bocoran lagi, Setiap section .text TIDAK menggunakan attribut Writeable (0×80000000). Jikaanda menemukan .text beratribbut Writeable, mungkin file tersebut telah diotak – atik ataupun dipack. Seperti sebuah file yang saya buka menggunakan LordPE, memiliki attribut Writeable pada sectionya. Bisa gunakan sebagai PE Heuristic [2]. Ingat!! peraturan tadi, tidak semua program yang beratribut Writeable lantas disuspect begitu saja.
  4. Yang selanjutnya masih berkaitan dengan section dan Entry Point (EP). EP merupakan jalan masuk atau alamat masuk dari sebuah file saat dieksekusi. Pada program standar, sebuah EP menunjuk pada section nomor 1 yaitu .text. Bisa kita lihat dengan menggunakan program PEiD untuk lebih jelasnya. Dapat kita lihat pada sample program yang aku buka di PEiD , memiliki EP 0×00001464, dan terlihat di kotak EP Section merujuk pada section .text. Maka dapat kita simpulkan bahwa program ini merupakan program normal.

Yah, , kayaknya ini dulu deh untuk sekarang, lanjutanya ada di PART II ya :D PE itu sebenernya mudah kok kalau kita mau belajar. Dan belajari secara otodidak merupakan cara yang terbaik menurut saya :)

Bagi yang mau copas artikel ini, jangan lupa nama saya yaa :D

See youu ,

FComputer (SIG Engine Programmer)

0 comments:

Post a Comment

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Powered by Blogger