Darkside of Oktavianus

Making virus and all of them as our friends

Mengenal Scan Engine Pada Antivirus

Posted by oktavianus pada April 4, 2008

 Oleh Fajar Anggiawan

Scan Engine merupakan suatu bagian yang sangat vital pada program Antivirus. Scan Engine digunakan untuk mencari file-file untuk mendeteksi virus. Performa Scan Engine tentunya sangat signifikan dalam menentukan kualitas dari sebuah Antivirus. Ketika suatu Antivirus melakukan proses pencarian/scanning pada disk, maka Scan Engine akan meneliti file yang discan untuk dibandingkan dengan database virus atau virus pattern. Scan Engine yang baik tentunya dapat melakukan proses ini dengan sangat cepat dan penggunaan resource yang minimal.

Umumnya cara kerja Scan Engine yaitu dengan mencari suatu/beberapa string pada file yang discan. String disini dapat berupa suatu pattern/signature atau istilahnya dikenal dengan nama virus mask. Virus mask yaitu string unik dari bit-bit atau binary virus. Cara sederhana para pembuat Antivirus memakai MD5 untuk membuat virus pattern.

Tidak hanya menggunakan virus pattern, hampir semua Antivirus menggunakan teknik Variable Scan untuk mencari virus. Cara ini dipakai untuk mencari keberadaan virus-virus yang memakai teknik polymorphic atau terenkripsi. Pada teknik ini, ketika kita menscan suatu virus, sebenarnya yang terjadi adalah virus yang kita scan tersebut akan dijalankan pada emulator di Random Access Memory. Virus yang dijalankan tersebut tidak akan mengakibatkan kerusakan nyata karena emulator bersifat virtual computer. Saat virus dijalankan di emulator, maka Antivirus akan memonitor aktifitas virus. Saat di emulator virus akan melakukan proses dekripsi pada body-nya (ini merupakan aktifitas rutin virus polymorpic). Dengan adanya hal ini, Scan Engine dapat menangkap signature pada virus tersebut. Kelemahan dari teknik Variable Scan yaitu tidak semua virus polymorphic melakukan rutin dekripsi saat dijalankan di emulator atau hanya menjalankan setengah rutin dekripsi saja

Scan Engine dapat dilengkapi dengan teknik heuristik (sudah dibahas di tulisan saya sebelumnya) dan runtime packer (meng-unpack file yang dipacked, misalnya UPX) untuk membuat Antivirus yang kompleks.

Untuk source code Antivirus saya kira sudah banyak ya beredar, misalnya di www.ansav.com atau www.vb-bego.com . Sorry situsnya ditulis tanpa izin owner (kan biar tambah ngetop).

Demikian tulisan sederhana saya, mudah-mudahan menambah pengetahuan bagi yang belum mengenali teknik scanning pada Antivirus Thanks a lot…

Greetz to:
– 4NV|e & movzx, your scan engine/heuristic more than I expected lah. Great job!
– Om Anton P and team, versi 2….
– Echoer
– Jasakom
– All local AV engineers
– Virus maker, jangan berniat nyebarin virus di warnet2 atau rental komputer!
– Teman2ku unpad tic 03, I am not Ki Joko Belegug!
– Teman2ku maranatha 07, new season? tetap semangat! Huh!!
– (shellynt mahesya, where’d u go? call me!!!)

Fajar Anggiawan
http://anggiawan.web.id

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: