Scan Virus By Strings

Sebenarnya Mengapa sih bisa dikatakan suatu file adalah virus? Jawabanya yang paling umumpastikarna file tersebut mempunyai kemampuan untuk menggandakan diri,melakukanpeng-Copy-an diri, Melakukan penyebaran agar virus memiliki keturunan yang akan melanjutkan perjuangan hidup meneruskan perjuangan induk virus yang sudah tuarenta dan mati dibasmi oleh antivirus. Anak virus tersebut juga menggandakan diri (SepertiInduk) dan dalam penggandaan diri tersebut juga melakukan teknik penyebaran perjalanandari computer satuke computer lain. Lalubagaimanasuatu virus dapatmelakukanpengandaandiri?

Dalam Visual Basic perintah menggandakan dapat dilakukan dengan beberapa cara diantaranya carayaitu:

1. Menggunakan code standardalam visual basic. (FileCopy).

2. menggunakan code API untuk yang akanberinteraksilangsungdengan system

1. Perintah Copy Visual Basic (FileCopy)

Dengan perintah perintah peng-copy-an suatu file pada visual basic, kita bisamembuat suatu fungsi untuk melakukan suatu penggandaan diri dalam suatu virus, tapi fungsi ini tidak 100% berhasil. Dan memakanwaktu yang lama jika digunakan untuk melakukan penggandaan dalamjumla hbanyak.Perintah ini sebaiknya digunakan jika kita ingin membuat suatu virus yang sederhana.

Code:

FileCopysumber,tujuan

2. Fungsi API:

Penggunaan perintah API sangat disaran jika kita ingin membuat suatu applikasi yang professional.Kok Applikasi? Karena fungsi ini biasanya digunakan untuk membuat aplikasi installer yang dibuat oleh suatu perusahaan software.Fungsi API selalu digunakan oleh perusahaan software agar software yang merekabuat bisa langsung berinteraksi dengan system operasi dan bukan berinteraksi dengan sebuah file virtual machine (Contoh : msvbvm60.dll) dimana virtual machine ini berfungsi untuk melakukan hubungan dari suatu applikasi ke system operasi. Jadi baiknya jika aplikasi kita buat langsung berhubungan dengan system operasi sehingga kinerja dari aplikasi yang kita buat tersebut akan sangat baik. Apa hubungannya sama virus? Jika kita bisa membuat virus yang

langsung berhubungan dengan system operasi.Selain proses penyebarannya sangat cepat, virus itu pun mampumelindungi dirinya dengan sangat baik. Karena ia mempu mengendalikan suatu aplikasi. Apakah aplikasi tersebut diperbolehkan untuk dijalankan atau tidak.

Public Declare Function CopyFile Lib “kernel32″ Alias “CopyFileA” _

(ByVallpExistingFileNameAs String, ByVallpNewFileName As String, _

ByValbFailIfExistsAs Long) As Long

Lalu bagaimana jika di Delphi?Sama saja seperti pada Visual Basic yaitu dengan menggunakan code standar (CopyFile) dan menggunakan code API. Lalu bagaimana dengan bahasa-bahasa lainya?Bahasa C? Assembly? atau bahasa-bahasa lain yang digunakan dalam pembuatan virus?intinya sama String Copy.

Nah setelah mengetahui string apakah yang slalu ada dalam suatu file virus maka kita lakukan percobaan untuk melihat isi tubuh virus tersebut dengan tool-tool atau software-software penganalisa file executable. Kita cobabe dah tubuh virus Visual Basic yang melakukan teknik pengcopy-an diri.


Lalu kita juga coba bedah tubuh virus Delphi yang melakukan teknik peng copy-an diri.


Lakukan pencarian virus dengan menggunakan metode pencocokan String dalamtubuh virus jika dalam tubuh virus terdapat Sting Copy (untukpenggandaandiri) makamasukkan virus dalam daftar lalu Musnahkan….Teknik ini cukup ampuh dalam mengenali virus baru terutama virus build-an VisualBasic atau pun delphi Karena pada umumnya mereka menggunakan perintah FileCopy dan fungsi API untuk penggandaan diri.Klik di ListView virus yang tertangkap lalu tekan delete.

http://virologi.info

About revil

i'm just a stupid who wanted to be better..

Posted on April 7, 2010, in Programming, Tutorial, Virus & Anti Virus and tagged . Bookmark the permalink. 4 Comments.

    • ini teknik paling sederhana tapi seru, jadi kita ga perlu database yang banyak, cukup string nya aja, tapi tingkat akurasi nya belum jelas, takut nya yang ketangkep bukan virus lagi😦
      heheheh,

  1. Gimana tuh cara buat scan by stringnya dengan VB6?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: