Adil Langkah Mudah Menganalisis Virus

Adil Makmur eBook 2007 by Adil Makmur
Langkah Mudah Menganalisis Virus

eBook ini disusun dalam rangka mencerdaskan anak bangsa. Ditujukan bagi orang yang ingin mengetahui seluk
beluk analisis virus, dan juga bagi praktisi dalam dunia teknologi informasi. Semoga buku ini bermanfaat. Amin.

Diunduh dari blog Adil Makmur di http://adilmakmur.wordpress.com

Tingkat - Pemula
PENDAHULUAN

Virus, istilah yang selalu identik dengan komputer, kerugian, kehilangan data, exe, bat, com,
scr, dan sebagainya.

Banyak sekali orang buta dengan penanganan virus secara manual. Oleh karena itu sebagai praktisi
dalam bidang teknologi informasi, setidaknya kita memiliki pengetahuan dasar bagaimana cara
menganalisis virus, sehingga tahu cara pencegahan dan pembasmiannya, serta mengembalikan data
yang hilang akibat virus (bila memungkinkan).

Buku ini menyajikan langkah-langkah analisis virus menurut pandangan penulis. Langkah-langkah
yang dibahas dalam buku ini bukanlah langkah yang memberikan hasil terbaik, namun langkah yang
dibahas adalah yang optimal, di mana tidak diperlukan kemampuan pemrograman yang luar biasa
tinggi untuk dapat melakukannya. Analisis virus bukanlah hal yang sulit, seperti yang orang-orang
katakan: KISS (Keep It Stupid Simple), artinya jangan terlalu dibesar-besarkan, anggaplah
permasalahan itu sesuatu yang sederhana, namun bukan berarti menyepelekan.

Sebelum mulai melakukan analisis, kita perlu alat bantu berupa perangkat lunak, yaitu:
- Vmware (unduh di http://vmware.com)
- Process Monitor (unduh di http://sysinternals.com)
- Process Explorer (unduh di http://sysinternals.com)
- Hide Caption (unduh di http://adilmakmur.wordpress.com)

Anda harus mengunduh keempat perangkat lunak di atas sebelum melanjutkan ke pembahasan inti
dari buku ini.




Tingkat - Pemula
Mungkin pembaca penasaran, mengapa harus menggunakan VMware, Process Explorer, Process
Monitor, dan Hide Caption? Apa fungsi dari keempat perangkat lunak di atas?

Alasan mengapa kita menggunakan VMware adalah karena VMware adalah sebuah mesin virtual,
yaitu perangkat lunak yang seolah-olah berfungsi sebagai perangkat keras. Suatu sistem operasi
dapat dipasangkan ke dalam VMware, termasuk Windows dan Linux.

Setelah kita memasang sistem operasi di dalam VMware, nantinya kita akan menjalankan virus yang
akan kita analisis di dalamnya. Sehingga virus tidak akan menginfeksi komputer kita yang
sebenarnya, virus hanya menginfeksi sistem operasi di dalam VMware tersebut. Sehingga akan
menghilangkan rasa khawatir akan kehilangan data ataupun kerusakan sistem.

Process Monitor adalah suatu alat yang digunakan untuk mengawasi proses. Proses adalah file yang
telah dieksekusi dan sedang berjalan dalam memori komputer. Process Monitor dapat mendeteksi
perubahan file system, registry, dan proses oleh virus. Sehingga kita akan tahu gerak gerik virus di
dalam komputer.

Process Explorer adalah suatu alat yang digunakan untuk mengawasi proses apa saja yang sedang
berjalan di dalam komputer, dan mempunyai kemampuan untuk menghentikan proses tertentu.
Hal ini berguna untuk menghentikan proses virus.

Hide Caption adalah suatu alat yang digunakan untuk menyembunyikan caption suatu window.
Caption adalah judul dari window, misal bila kita menjalankan Notepad, captionnya adalah
Untitled Notepad. Hide Caption dapat menyembunyikan tulisan Untitled - Notepad





Tingkat - Pemula
Caption biasanya dimanfaatkan oleh virus untuk mendeteksi keberadaan proses lain, misal
keberadaan antivirus. Sehingga apabila virus mengetahui ada aplikasi yang memiliki caption yang
mengandung kata: antivirus maka virus tersebut akan menghentikan proses yang memiliki caption
antivirus tadi. Caption dari Process Monitor dan Process Explorer adalah salah satu caption yang
diawasi oleh virus dan virus akan menutup proses dari Process Monitor dan Process Explorer secara
paksa. Akibatnya kita tidak jadi menganalisis. Dengan alat bernama Hide Caption ini, Process
Monitor dan Process Explorer akan terhindar dari pengawasan kebanyakan virus.

Setelah Anda paham maksud dari keempat perangkat lunak tersebut, silakan diunduh secepatnya.

Setelah Anda unduh, Anda pasang VMware di komputer Anda, kemudian silakan pasang sistem
operasi di dalam VMware tersebut, sangat disarankan memasang Windows XP SP2.

Di sini tidak akan dijelaskan bagaimana cara memasang VMware tersebut, silakan baca manual yang
disertakan dalam paket VMware.

Setelah VMware dan Windows XP terpasang dengan baik, buatlah sebuah snapshot, snapshot adalah
fitur dari VMware yang mengizinkan kita untuk melakukan reset terhadap file system dalam
Windows XP Guest (Windows XP yang dipasang dalam VMware). Sehingga data-data akan kembali
seperti semula seperti keadaan ketika snapshot dibuat. Fitur ini mirip dengan fitur perangkat lunak
Deep Freeze. Berbeda dengan Deep Freeze yang melakukan reset setiap kali komputer restart,
VMware ini akan melakukan reset hanya jika dilakukan perintah Revert to Snapshot oleh pengguna.
Untuk mempelajari bagaimana cara membuat snapshot dan bagaimana cara melakukan perintah
Revert to Snapshot, silakan buka petunjuk (manual) yang disertakan dalam paket VMware.





Tingkat - Pemula
PEMBAHASAN

Mari kita mulai pembahasan tentang bagaimana cara menganalisis virus menggunakan keempat
perangkat lunak di atas.

Pertama kali yang dilakukan adalah menjalankan VMware yang di dalamnya sudah terpasang
Windows XP.

Tunggu sampai layar Desktop muncul.




Tingkat - Pemula
Setelah itu siapkan ketiga perangkat lunak lainnya, dan ganti namanya menjadi nama yang tidak ada
hubungannya dengan process, virus, antivirus dan sebagainya. Misal ganti nama procmon.exe
dengan saya.exe, procexp.exe dengan kamu.exe, hide caption.exe dengan dia.exe. Siapkan juga file
virusnya, boleh virus apa saja, beri nama musikkeren.exe.





Tingkat - Pemula
Setelah siap, jangan menjalankan virus duluan, namun jalankan saya.exe, kamu.exe, dan dia.exe.
Hilangkan caption dari Process Monitor dan Process Explorer. Pastikan ketiga perangkat lunak di
atas dalam kondisi berjalan. Jangan pernah menutupnya sebelum virus teranalisis.





Tingkat - Pemula
Sebelum Anda menghilangkan caption dari Process Monitor, set terlebih dahulu filternya. Filter
berfungsi untuk memilah-milah proses berdasarkan kriteria tertentu. Dalam hal ini, filter akan diset
menjadi musikkeren.exe. Lihat gambar di bawah ini.

Lihat pada bagian (1), isikan persis seperti gambar di atas pada Process Monitor Anda. Setelah itu
klik tombol Add, dan terakhir klik tombol OK. Setelah itu Process Monitor akan berjalan.




Tingkat - Pemula
Setelah berhasil melakukan langkah di atas, mulailah untuk menyembunyikan caption dari Process
Monitor dengan cara drag drop icon cursor dalam Hide Caption ke atas Caption dari Process
Explorer. Lihat gambar di bawah ini.





Tingkat - Pemula
Hasilnya akan tampak seperti gambar di bawah ini, yaitu caption dari Process Monitor akan hilang.





Tingkat - Pemula
Lakukan juga terhadap Process Explorer, namun ingat: JANGAN pernah menutup aplikasi Process
Monitor dan Process Explorer sebelum eksperimen ini berhasil, atau Anda akan mengalami
kerepotan.





Tingkat - Pemula
Kemudian ubah pengaturan pada Process Explorer.





Tingkat - Pemula
Hasilnya akan dilihat pada gambar di bawah ini.





Tingkat - Pemula
Setelah itu, jalankan file virus dengan cara double-click (klik ganda) pada file musikkeren.exe. Jangan
takut, data Anda tidak akan terpengaruh oleh virus karena virus berjalan di Windows XP Guest.

Process Monitor dan Process Explorer akan mendeteksi virus tersebut.

Jangan terburu-buru menutup proses virus. Kita analisis dahulu apa yang akan dilakukan oleh virus.





Tingkat - Pemula
Masuk ke Process Monitor dan ubah filternya.
Lihat gambar di bawah ini.





Tingkat - Pemula
Hapus filter pertama kali yang sudah kita set tadi.





Tingkat - Pemula
Tambahkan filter baru sebanyak tiga kali dengan nama prcsys.exe, prcsys2.exe, dan prcsys3.exe.
Nama nama tersebut diambil dari nama proses virus yang berjalan (dapat dilihat pada Process
Explorer).

Tambahkan prcsys.exe





Tingkat - Pemula
Tambahkan prcsys2.exe





Tingkat - Pemula
Tambahkan prcsys3.exe, kemudian klik OK.





Tingkat - Pemula
Harap bersabar ketika Process Monitor menerapkan filter tersebut. Kemungkinan cukup lama.





Tingkat - Pemula
Setelah itu, silakan tunggu beberapa menit agar Process Monitor lebih banyak mendeteksi hal-hal
yang dilakukan oleh virus.

Setelah dirasa cukup. Saatnya menyimpan hasil tangkapan Process Monitor ke dalam sebuah file.





Tingkat - Pemula
Beri nama file tempat menyimpannya. Misalkan mk.PML. PML adalah ekstensi yang digunakan oleh
Process Monitor.





Tingkat - Pemula
Hal ini cukup lama, mengingat hasil tangkapan Process Monitor sangat banyak.





Tingkat - Pemula
Setelah selesai, lihat berapa ukuran file tersebut. Dalam hal ini terlihat bahwa ukuran file mk.PML
sangat besar, yaitu 346 MB.

Ukuran itu sendiri tergantung seberapa banyak tangkapan dan seberapa lama Process Explorer
menganalisis.





Tingkat - Pemula
Setelah itu, simpan hasil tangkapan tersebut ke dalam komputer asli Anda. Lakukan drag drop dari
VMware ke desktop Anda.





Tingkat - Pemula

Lagi lagi proses ini memakan waktu cukup lama.





Tingkat - Pemula
Setelah proses selesai, Anda boleh bangga karena sudah berhasil merekam hal hal apa saja yang
dilakukan oleh virus. Selanjutnya, masuk ke Process Explorer.

Terlihat bahwa proses virus masih berjalan.

Tutup ketiga proses virus secara paksa.




Tingkat - Pemula
Klik pada proses virus yang terletak paling bawah sekali saja. Kemudian tekan tombol Del atau
Delete yang ada pada keyboard 3x secepat mungkin, atau Process Explorer akan dengan tidak
sengaja tertutup oleh aksi Anda sendiri.





Tingkat - Pemula
Bila Anda beruntung, ketiga proses virus di atas akan tertutup dan anda boleh mengelus dada tanda
lega. Sekarang Anda boleh mengakhiri VMware dan memulai langkah selanjutnya.

Sampai di sini, proses analisis berjalan sekitar 50%, sisanya adalah langkah sesungguhnya yaitu
Menganalisis hasil rekaman Process Monitor.

Langkah sebelumnya hanyalah langkah yang dilakukan untuk mendapatkan rekaman tindakan
virus. Dan langkah berikut ini adalah langkah yang melibatkan banyak konsentrasi dan daya analisis.

OK. Langsung saja. Jalankan Process Monitor (tidak perlu masuk VMware).





Tingkat - Pemula
Buka file mk.PML tadi dengan cara menekan tombol Open pada toolbar Process Monitor.





Tingkat - Pemula
Setelah Anda menekan tombol OK, Process Monitor akan langsung membukanya.

Mulai dari sini Anda dapat melakukan analisis terhadap segala sesuatu yang dilakukan virus
terhadap komputer.

Kita dapat mempersempit analisis, misal kita hanya ingin menganalisis registry saja, atau file system
saja, atau process saja.





Tingkat - Pemula
Untuk lebih jelasnya, lihat gambar di bawah ini.





Tingkat - Pemula





Tingkat - Pemula

Sampai di sini Anda diharapkan dapat memahami bahwa Process Monitor dapat mendeteksi 3 hal
pada sebuah proses.
1. Aktivitas proses yang berhubungan dengan Registry
2. Aktivitas proses yang berhubungan dengan File System
3. Aktivitas proses yang berhubungan dengan Process & Thread

Bila Anda belum tahu apa itu registry, file system, process & thread, penulis menganjurkan pembaca
agar mencari tahu definisinya di http://en.wikipedia.org dengan bantuan fitur pencariannya.





Tingkat - Pemula
Anda cukup melihat pada bagian Operation, Path, dan Result.
Contoh:

Operation : RegCreateKey
Path : HKLM\SOFTWARE\Microsoft\Cryptography\RNG
Result : Success
Artinya : Virus membuat sebuah subkey dengan alamat
HKLM\SOFTWARE\Microsoft\Cryptography\RNG
dan hasilnya berjalan dengan sukses

Dan perintah perintah lain tidaklah rumit, karena menggunakan bahasa Inggris. Seperti RegSetValue
berarti menulis registry / mengisi suatu data ke dalam suatu value.





Tingkat - Pemula
Sama halnya dengan menganalisis file system.

Contoh:
Operation : CreateFile
Path : C:\WINDOWS\windows.exe
Result : NAME COLLISION
Artinya : Virus mencoba membuat file bernama windows.exe yang diletakkan di
C:\WINDOWS, dan menghasilkan NAME COLLISION, yang artinya nama
windows.exe sudah ada, sehingga terjadi tabrakan pemberian nama.




Tingkat - Pemula
Hasil dari analisis analisis tergantung pada kemampuan bahasa inggris dan analisis Anda sendiri.

Buku ini hanya sebagai batu loncatan Anda untuk melakukan eksperimen terhadap virus
menggunakan perangkat lunak di atas. Sehingga dengan keterampilan yang Anda miliki, Anda dapat
lebih mengembangkan diri melalui eksperimen-eksperimen Anda sendiri.

Semoga buku ini dapat memberikan gambaran umum tentang langkah awal yang harus dilakukan
dalam menganalisis virus. Dan untuk menghasilkan analisis yang hebat, diperlukan pengalaman-
pengalaman berharga yang tidak bisa Anda dapatkan kecuali dengan mencoba, dan terus mencoba
bereksperimen terhadap banyak virus. Ditambah pula pengetahuan tentang sistem operasi windows
harus ada, paling tidak Anda mempunyai gambaran apa itu registry, bagaimana cara
memanipulasinya, bagaimana virus dapat berjalan saat komputer hidup, dan sebagainya.

Akhir kata besar harapan penulis atas kritik dan saran dari para pembaca yang budiman.
Bila buku ini bermanfaat bagi Anda, silakan kirimkan kritik, saran, atau komentar Anda ke email
penulis di husni.adil@gmail.com atau langsung buka alamat berikut:
http://adilmakmur.wordpress.com/ebook/virus dan berikan komentar Anda di sana.





Tingkat - Pemula
Penulis mengucapkan terima kasih kepada semua orang/badan yang membantu terselesaikannya
buku ini:
- Jenos Constantine yang telah memberikan duplikat virus yang dibahas dalam buku ini
- rekan rekan Klasiber yang telah memberikan semangat
- Sysinternals, VMware, dan Microsoft yang telah membuat produk yang hebat
- dan pihak pihak lain yang tidak dapat disebutkan di sini satu per satu.

Terima kasih

~ Se l a ma t Be r e k s pe r i me n ~

Adil Langkah Mudah Menganalisis Virus

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Adil Langkah Mudah Menganalisis Virus

Diunggah oleh

Hak Cipta:

Format Tersedia

Adil Makmur eBook 2007 by Adil Makmur

Langkah Mudah Menganalisis Virus

Anda mungkin juga menyukai