Umumnya pada program antivirus memiliki tiga jenis cara pendeteksian yaitu File Information seperti nama file, kemudian checksum seperti CRC32 atau MD5, dan pendeteksian string signature yang langsung melihat byte pada body file. Untuk mengetahui signature yang menggunakan File Information dapat diketahui dengan mudah hanya dengan melihat informasi file tersebut seperti nama file yang menggunakan ekstensi ganda dan lain sebagainya, dan tentunya Anda akan jauh lebih mengerti dengan karakteristik worm yang Anda buat sendiri, demikian pula halnya dengan metode checksum, jika suatu antivirus menggunakan CRC32 atau MD5 Anda langsung bisa mengetahui signature apa yang digunakan antivirus tersebut, dengan mencari tahu sendiri nilai checksum file worm Anda tersebut. Tetapi dengan menggunakan string signature yang notabene melihat beberapa string pada body file, maka sulit untuk mengetahui string apa yang digunakan oleh suatu antivirus, berapa string yang digunakan oleh antivirus tersebut?,? berapa panjang string tersebut?, dan berapa jumlah section signature tersebut? ada ratusan bahkan ribuan dan jutaan kemungkinan yang bisa terjadi.

Penulis menemukan suatu cara yang penulis sebut dengan istilah ?Cut and Fill?, metode Cut and Fill ini memungkinkan untuk mengetahui string signature apa yang terkandung pada suatu file sehingga bisa terdeteksi pada suatu antivirus. Sebagai contoh suatu file memiliki isi ?cN2tR5dfWa?, dan suatu antivirus mendeteksinya sebagai malcode karena mengandung string ?tR5? yang sebelumnya tidak kita ketahui, maka cara yang bisa Anda lakukan adalah mengurangi setiap string tersebut dan melakukan uji coba scan antivirus untuk setiap kali berkurangnya string, perhatikan table uji coba scanning antivirus berikut ini:

Sampai pada pengurangan string ke-5 ternyata antivirus tidak mendeteksinya lagi, tentu karena string ?cN2tR? tidak mengandung string ?tR5?. Kemudian untuk menentukan berapa panjang karakter string tersebut dapat dilakukan dengan cara ?mengotori? bergantian tiap string tersisa yang terdeteksi yaitu dari pengurangan string ke-4 dengan string tertentu, contoh table berikut akan menggunakan string ?#? untuk ?mengotori? string tersebut

Anda perhatikan pada pengotoran ke-1, ke-2 dan ke-3 ternyata antivirus tidak mendeteksinya sebagai malcode karena tidak mengandung string ?tR5?, dengan demikian untuk menentukan string yang digunakan pada visual basic adalah dengan rumus berikut ini.

String Signature = Mid(BodyFile,Awal,Akhir)

String Signature = Mid(?cN2tR5dfWa?,4,3) ?hasilnya adalah ?tR5?

Keterangan :

Pengurangan? = Pengurangan Terdeteksi Terbesar (4)

Pengotoran??? = Pengotoran Tidak Terdeteksi Terbesar (3)

TotalBytes???? = 10 (berasal dari jumlah bytes ?cN2tR5dfWa")

Akhir???????????? = TotalBytes - Pengurangan - Pengotoran

???????????????????? = 10 - 4 - 3 ?hasilnya adalah = 3

Awal???????????? = TotalBytes - (Pengurangan + Pengotoran) + 1

???????????????????? = 10 - ( 4+3 ) + 1 ? hasilnya adalah = 4

Mudah bukan? tentu saja mudah karena contoh yang penulis berikan hanya 10 bytes, lalu bagaimana dengan file asli yang nyata kita hadapi? dimana 1 kb saja adalah 1024 bytes? Sementara umumnya malcode memiliki ukuran rata-rata lebih dari 20 kb atau 20.480 string? Ya, Anda bisa berhari-hari didepan komputer hanya untuk mengetahui sebuah string signature yang digunakan oleh suatu antivirus, terhadap file worm yang Anda buat J. Setelah beberapa kali browsing internet, penulis tidak menemukan tool yang cukup?bagus untuk dapat mengaplikasikan metode ini, yang penulis temukan hanyalah program spliter yang menurut penulis kurang sesuai, karena cara kerja program spliter bukan mengurangi byte demi byte tetapi langsung membagi file tersebut, perhatikan contoh table uji berikut :

Kekurangan utama metode spliter ini adalah, spliter tidak menyertakan header file pada setiap file hasil split, sementara keberadaan header file disyaratkan atau dibutuhkan oleh beberapa antivirus untuk bisa mendeteksi suatu malcode, dengan tool spliter ini Anda juga harus melakukan pekerjaan yang sama berulang kali untuk setiap file yang terdeteksi.

Nah untuk memanjakan pembaca, maka penulis melanjutkan riset dan berhasil membuat sebuah tool sederhana yang mampu mempermudah pekerjaan Anda. Terbundel dalam program instalasi Darmal?s DarkStudio, program pertama yang disebut Darmal?s Knife ini berfungsi untuk memotong body file dengan cara mengurangi sejumlah byte tertentu, kemudian program kedua adalah Darmal?s DirtStep yang berfungsi untuk ?mengotori? byte tertentu pada body file, program ketiga adalah Darmal?s cByte yang berfungsi sebagai pengekstrak byte untuk mengetahui string signature berdasarkan hasil dari kedua program sebelumnya, Darmal's DarkStudio dapat didownload gratis di http://darmal.blogs.friendster.com

Untuk mempermudah Anda, penulis akan memberikan contoh nyata bagaimana mencari string signature yang digunakan engine heuristic program antivirus terhadap file executable yang memiliki icon dokumen Microsoft Word. Antivirus pilihan penulis untuk uji coba kali ini jatuh pada PCMAV versi 1.6, sebuah antivirus lokal Indonesia yang mengklaim dirinya sebagai antivirus terbaik di dunia dan mengusung sebuah teknologi yang bernama ?GeneticHeuristic?, baik.. kita akan coba untuk membongkar rahasia string signature yang digunakan, tanpa perlu sedikitpun ?mengintip? file binary antivirus tersebut, apalagi melakukan reverse engineering.

1. Penulis mengekstrak icon berdimensi 32x32 pixel dengan resolusi warna 8 bit (256 warna)?dari file ?winword.exe? dan memberinya nama file ?MSWord 32x32 8 Bit.ico?. Perlu untuk diketahui, Anda tidak boleh menggunakan icon multi dimensi dan resolusi, karena beberapa antivirus menggunakan string signature berbeda untuk masing-masing dimensi dan resolusi, hal ini akan membingungkan Anda nantinya. Jika Anda tetap ingin menggunakan icon multi dimensi dan resolusi maka Anda harus mengulangi langkah-langkah ini untuk setiap icon yang Anda inginkan dan nantinya menggabungkan kembali icon-icon tersebut. (mengenai icon multi dimensi dan resolusi akan dibahas lengkap dibuku penulis selanjutnya; Computer Worm 3)
2. Buat sebuah file dummy, dengan cara membuat sebuah project visual basic (standard exe) tanpa memasukan code apapun selain hanya mengubah icon form dengan menggunakan icon hasil ekstrak sebelumnya. Compile project visual basic dengan nama file ?dummy.exe? dan menyimpannya didalam folder ?c:\dummy? atau path lengkapnya adalah ?c:\dummy\dummy.exe?, kemudian kompres file tersebut dengan menggunakan aplikasi compressor apapun, dalam hal ini penulis menggunakan program upx, atau Anda bisa mendownload file dummy yang?penulis sediakan pada url berikut ini:?http://www.mediafire.com/?y5wmutwvqms
3. Pastikan terlebih dahulu file dummy yang kita buat terdeteksi oleh antivirus PCMAV, jalankan program PCMAV beri seleksi pada folder ?c:\dummy\dummy.exe?, pastikan opsi ?Scan for new unknown viruses? terseleksi kemudian klik tombol Scan, perhatikan gambar berikut ini:
   
   

   ?

   
   Sesuai yang kita harapkan ternyata PCMAV mendeteksi file dummy sebagai ?Virus Suspected (WP)? penulis memperkirakan string WP pada PCMAV adalah singkatan dari Word Processor, SS (Spread Sheet), RD (Removable Disk), FL (Folder), BR (Boot Record), ?SC (Script/Source Code), OE (Outlook Express), OL (Outlook). Penulis ingatkan lagi dan perlu Anda catat bahwa file dummy terdeteksi sebagai ?Virus Suspected (WP)? bukan yang lain, karena hal ini akan sangat berpengaruh pada langkah selanjutnya. Perhatikan gambar berikut ini:
   
   

   ?

    

4. Setelah kita memastikan file dummy terdeteksi oleh engine heuristic PCMAV maka tiba saatnya untuk menjalankan program Darmal?s Knife. Eksekusi program Darmal?s Knife, setelah jendela aplikasi tampil, klik tombol Source File kemudian akan tampil kotak dialog ?Open Source File? atur menjadi file dummy yaitu ?c:\dummy\dummy.exe?, untuk sementara ini atur opsi Step menjadi 100 (ratusan) dan opsi Limit menjadi source size dikurangi 1 yaitu 8191, kemudian klik tombol Cut, perhatikan gambar berikut ini:
   
   

   

   
   Pada contoh diatas penulis membiarkan nilai Target Path dan Group Name menggunakan nilai default. Baiklah, sampai disini kita scan kembali menggunakan PCMAV, hanya saja opsi ?Location to Scan? kita atur ke Target Path program Darmal?s Knife yaitu ?c:\dummy\dummy\? perhatikan hasil scan berikut ini:
   
   

   

   
   Yang perlu kita ketahui adalah file dummy dengan nilai tertinggi yang terdeteksi oleh PCMAV, jika melihat gambar tersebut diatas menurut Anda berapakah nilai tertinggi pada dummy file? ?dummy-6700.exe?? Salah!. Walaupun nilai 6700 adalah nilai tertinggi tetapi PCMAV mendeteksi nilai 6700 sebagai ?Virus Suspected (OL)? bukan sebagai ?Virus Suspected (WP)?. File dummy dengan nilai tertinggi yang terdeteksi sebagai ?Virus Suspected (WP)? adalah file ?dummy-2800.exe?. Kita sudah mengetahui nilai tertinggi untuk Step ratusan, berikutnya kita kembali menggunakan program Darmal?s Knife untuk mendapatkan nilai akhir dari Step satuan, dengan cara klik tombol Source File sehingga tampil kotak dialog ?Open Source File? atur menjadi file dummy yaitu ?c:\dummy\dummy\dummy-2800.exe?, atur opsi Step menjadi 1 (satuan) dan opsi Limit menjadi nilai Step sebelumnya yaitu 100, kemudian klik tombol Cut. Scan kembali menggunakan PCMAV, hanya saja opsi ?Location to Scan? kita atur ke Target Path program Darmal?s Knife yaitu ?c:\dummy\dummy\dummy-2800\? dari hasil scan yang penulis lakukan nilai tertinggi untuk Step satuan adalah ?c:\dummy\dummy\dummy-2800\dummy-2800-58.exe? untuk Anda ketahui nilai dummy ini ditambahkan untuk mendapatkan nilai Darmal?s Knife, dalam hal ini nilai dKnife menjadi 2858.
   
5. Agar tidak membingungkan hapus semua file dummy dan sub direktori kecuali ?dummy-2800-58.exe? agar lebih mudah pindahkan juga file ini ke direktori ?c:\dummy?. Selanjutnya eksekusi program Darmal?s DirtStep, setelah jendela aplikasi tampil, klik tombol Source File kemudian akan tampil kotak dialog ?Open Source File? atur menjadi file dummy yaitu ?c:\dummy\dummy-2800-58.exe?, untuk sementara ini atur opsi Step menjadi 1 dan opsi Limit menjadi 100 jika Anda berpendapat ternyata antivirus menggunakan lebih dari 100 bytes untuk string signaturenya silahkan ubah opsi Limit sesuai dengan perkiraan Anda sendiri, kemudian klik tombol Dirt, perhatikan gambar berikut ini:
   
   

   

   
   Baiklah, sampai disini kita scan kembali file dummy menggunakan PCMAV, pada opsi ?Location to Scan? kita atur ke Target Path program Darmal?s DirtStep yaitu ?c:\dummy\dummy-2800-58\? perhatikan hasil scan berikut ini:
   
   

   

   
   Yang perlu kita ketahui adalah file dummy dengan nilai terendah yang terdeteksi oleh PCMAV, jika melihat gambar tersebut diatas maka nilai terendah untuk file dummy yang terdeteksi sebagai ?Virus Suspected (WP)? adalah ?dummy-2800-58-81.exe? dengan demikian nilai untuk DirtStep adalah 81.
   
6. Setelah sukses mengantongi nilai dKnife dan DirtStep, maka kita bisa menggunakan program terakhir untuk mengetahui string signature yang digunakan oleh PCMAV. Eksekusi program Darmal?s cByte, setelah jendela aplikasi tampil klik tombol Browse kemudian akan tampil kotak dialog ?Open Source File? atur menjadi file master dummy yang tidak mendapat perubahan yaitu ?c:\dummy\dummy.exe?, atur nilai dKnife menjadi 2858 dan nilai DirtStep menjadi 81, kemudian klik tombol Extract, hasil string akan tampil pada frame ?Show Bytes in ASCII? klik tombol Convert untuk mengubah view mode dari ASCII menjadi nilai hexadecimal, perhatikan gambar berikut ini:
   
   

   

   
   Untuk memastikan kebenaran string signature yang kita dapatkan, bisa dilakukan dengan cara membuka file dummy dengan menggunakan program hex editor, kemudian mencari nilai string signature yang didapatkan pada body file dan mengubah salah satu byte, dalam hal ini penulis mengubah byte dengan nilai hex ?EC? pada akhir byte string signature, dengan mengubahnya menjadi nilai hex ?00?. Saat di scan kembali menggunakan PCMAV, ternyata antivirus ini sudah tidak mendeteksinya lagi sebagai ?Virus Suspected (WP)?.

Jika Anda sukses melakukan langkah-langkah diatas, namun ternyata antivirus tetap berhasil mendeteksi file dummy tersebut, perhatikan kembali karena ada kemungkinan string signature tersebut terdapat di dua lokasi dari body file, juga ada kemungkinan antivirus tersebut menggunakan lebih dari satu string signature, persis seperti yang penulis temukan pada antivirus PCMAV setelah penulis mencoba dengan menggunakan exe compressor lain yaitu FSG, ternyata untuk icon 32x32 pixel dengan resolusi warna 8 bit (256 warna) pada file winword.exe, PCMAV juga melihat string signature dengan nilai hexadecimal berikut:

Berikut ini adalah hasil analisa lengkap icon dokumen Microsoft Word terhadap antivirus PCMAV 1.6 :

Untuk mengubah salah satu byte agar tidak terdeteksi, maka dalam hal ini?Anda harus bertindak hati-hati karena trik ini cenderung mengotori gambar icon yang digunakan. Trik ini hanya mencontohkan cara melihat string signature yang kebetulan ada pada resource icon, nah untuk trik yang secara total bisa menghindari heuristic icon signature dengan sangat mudah tanpa mengotori gambar icon, anda bisa mengetahuinya hanya?di buku penulis selanjutnya; Computer Worm 3, halah :P

---- Jika Anda ingin menyadur semua atau sebagian ide atau isi, menjadikan referensi atau mempublish artikel ini pada site, blog atau media apapun maka dengan senang hati Penulis persilahkan, namun mohon kiranya untuk tetap menyebutkan nama Penulis, terima kasih. ----

============ EOF ============

Penulis : Achmad Darmal
Tarakan, Kalimantan Timur ? Indonesia
www.friendster.com/darmal | achmad_darmal@yahoo.com.sg | darmal.blogs.friendster.com

SUMBER
Dari sebuah naskah yang belum rampung, yang Penulis sebut dengan codename:
COMPUTER WORM 3 -The Biggest Secret Finally Revealed