MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Teknik DeepScan Morphost Accords

Posted by Morphic pada Mei 11, 2009


Sebenarnya trik yang saya bahas di tutorial ini hanyalah trik biasa dan sederhana. Kenapa? Yah aku yakin banyak juga yang dah tahu teknik ini…

Sekarang banyak AVMaker yang masih make basis data / checksum saja… yah paling ditambah dengan sedikit heuristic…
Tapi menurut pengamatanku masih banyak juga yang belum make teknik ini. Padahal teknik ini lumayan ampuh…

Memang Morphost belum make teknik ini, yah karena saya sendiri masih belum banyak mengumpulkan string-string virus. Tapi yang jelas di versi berikutnya (morphost Accords), trik ini akan saya gunakan.

Teknik ini fungsinya untuk melihat ke dalam tubuh file. Apa yang dilihat? He he he jangan piktor…
Maksudnya disini teknik ini untuk melihat string-string sensitif virus yang ada di dalam tubuh file.

Neh, secara sederhana ini code-nya..

Public Sub Baca(namanyaapa As String)
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
‘MsgBox ”Terinfeksi virus!”
End If
Close #1

End Sub

Tugasmu adalah mengganti ”TypeyourStringhere” dengan string virus apa saja. Yah lebih bagus lagi, tiap virus masing-masing memiliki 2 string. Biar gak false alarm.
Contohnya begini:

Public Sub Baca(namanyaapa As String)
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
If instr( 1, filedata, “TypeyourstriingHeredua”)> 0 then
‘MsgBox “terinfeksi virus!”
End if
End If
Close #1

End Sub

Mau dijadikan sebagai fungsi juga bisa,,, contohnya begini.

function isInfected(namanyaapa As String) as boolean
Dim filedata As String
Dim a As Integer
Open namanyaapa For Binary As #1
filedata = Space$(LOF(1))
Get #1, , filedata
If InStr(1, filedata, “TypeyourStringHere”) > 0 Then
Isinfected = True
End If
Close #1

End function

Ini semua hanya contoh,, kamu juga bisa membuatnya jadi 3 perbandingan string atau lebih…

Teknik ini ampuh unutk mendeteksi alman loh…

BErikut contoh-contoh string virus yang sudah saya teliti dan saya analisa…. He he he
NItaworm=InfeksiFolder,AmbilDirektoriWindow
GavGent=GavGentForm, TmrGavGent
Kspoold=UKURAN_EKSTRAKTOR, kspoold.exe
Aksika=frmalina, httinimsg

By:Morphic
Thanks to:
Morphostlab

13 Tanggapan to “Teknik DeepScan Morphost Accords”

  1. Daniel Adrian said

    kalo pake hexa bukannya harus diconvert dulu,uda gitu pengen nanya kalo pake instr() kayanya lama banget mencari stringnya…ada cara lain?

    • Morphic said

      ya memang.
      harus diconvert dulu ke ascii.

      tapi kalo menurut saya. proses konversi-nya tidak lama kok.
      hanya butuh waktu sepersejuta detik.

      yang bikin lama itu adalah
      “saat kita gunakan instr() pada file yang ukurannya besar”

  2. hello morphost….boleh tahu ngak gimana caranya mengetahui string yang bisa dijadikan database seperti yang anda tulis….saya ngerti caranya cuma ga ngerti apa yang mau di masukin….Tolong bantuannya..^_^

    • Morphic said

      biasanya yang string yang paling mencurigakan dan paling dekat dengan nama virusnya…

      misalnya brontok punya string “projrontok” (ini misal loh)

      trus aku ubah dalam bentuk hexa.

      • mengapa harus dalam bentuk hexa ?

        • Morphic said

          ada beberapa alasan.
          1. supaya stringnya gk terubah sedikiit pun (memang dicopy paste pun gk berubah siih..),tapi biar gak ternoda maksudnya…heheheh
          2. biar keliatan keren aja….
          3. iseng aja buat gitu…

        • memangnya kalau tidak di ubah menjadi Hexa tidak bisa mendeteksi virus…???

          apa hexa itu karakter unicode…???

        • Morphic said

          hexa bukan unicode.
          hexa itu bentuk karakter lain maksudnya.

          kalo pake ascii langsung juga boleh.
          hanya saja kalo string virus (dalam bentuk ascii) langsung copy paste ke projek VB6, ditakutkan bakal kehilangan karakter yang aslinya. begitu.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: