Malware adalah segala software yang bisa menyebabkan kerugian pengguna, baik itu virus komputer atau jaringan seperti trojan horse, worm, dsb. Tujuan dari analisis malware adalah untuk memberikan informasi yang Anda perlukan guna merespons intrusi jaringan. Tujuan Anda biasanya adalah menentukan dengan tepat apa yang terjadi, dan untuk memastikan bahwa Anda telah menemukan semua mesin dan file yang terinfeksi. Saat menganalisis dugaan serangan malware, biasanya dengan menentukan apa yang dapat dilakukan oleh biner yang dicurigai, cara mendeteksinya di jaringan Anda,dan bagaimana mengukur dan membendung kerusakannya.
Ada dua pendekatan mendasar dalam analisis malware: statis dan dinamis. Analisis statis melibatkan pemeriksaan malware tanpa menjalankannya.Sedangkan analisis dinamis melibatkan menjalankan malware. Kedua teknik tersebut selanjutnya dikategorikan sebagai dasar atau lanjutan.
Basic Static Analysis
Analisis statis dasar terdiri dari memeriksa berkas eksekutif tanpa melihat instruksi yang sebenarnya. Analisis statis dasar dapat mengonfirmasi apakah suatu berkas adalah jahat, memberikan informasi tentang fungsinya, dan kadang-kadang memberikan informasi yang memungkinkan Anda untuk membuat tanda tangan jaringan sederhana. Analisis statis dasar mudah dilakukan dan bisa cepat, tetapi secara keseluruhan tidak efektif terhadap malware yang canggih, dan dapat melewatkan perilaku penting.
Basic Dynamic Analysis
Teknik analisis dinamis dasar melibatkan menjalankan malware dan mengamati perilakunya pada sistem untuk menghapus infeksi, membuat tanda tangan yang efektif, atau keduanya. Namun, sebelum Anda dapat menjalankan malware dengan aman, Anda harus menyiapkan lingkungan yang memungkinkan Anda untuk mempelajari malware yang berjalan tanpa risiko kerusakan pada sistem atau jaringan Anda. Seperti teknik analisis statis dasar, teknik analisis dinamis dasar dapat digunakan oleh kebanyakan orang tanpa pengetahuan pemrograman yang mendalam, tetapi mereka tidak akan efektif dengan semua malware dan bisa melewatkan fungsionalitas penting.
Advanced Static Analysis
Analisis statis lanjutan terdiri dari merekayasa balik internal malware dengan memuat berkas eksekutif ke dalam disassembler dan melihat instruksi program untuk mengetahui apa yang dilakukan program tersebut. Instruksi tersebut dieksekusi oleh CPU, jadi analisis statis lanjutan memberitahu Anda secara tepat apa yang dilakukan program tersebut. Namun, analisis statis lanjutan memiliki kurva belajar yang lebih tinggi daripada analisis statis dasar dan memerlukan pengetahuan khusus tentang disassembly, konstruksi kode, dan konsep sistem operasi Windows, yang semuanya akan Anda pelajari dalam buku ini.
Advanced Dynamic Analysis
Analisis dinamis lanjutan menggunakan debugger untuk memeriksa status internal dari eksekutif yang berjalan. Teknik analisis dinamis lanjutan memberikan cara lain untuk mengekstrak informasi terperinci dari sebuah eksekutif. Teknik-teknik ini paling berguna ketika Anda mencoba untuk mendapatkan informasi yang sulit dikumpulkan dengan teknik lain. Dalam buku ini, kami akan menunjukkan kepada Anda bagaimana menggunakan analisis dinamis lanjutan bersama dengan analisis statis lanjutan untuk sepenuhnya menganalisis malware yang dicurigai.
