![]() Maka isi dari string calCrc adalah 7AF9E376, sedangkan untuk MD5nya adalah 529CA8050A00180790CF88B63468826A. Contoh checksum menggunakan CRC32 dan MD5 : Engine ini sendiri bukannya tanpa cacat, Checksum bekerja dengan memproses byte demi byte dari sebuah file dengan sebuah algoritma tertenu (– tergantung dari jenis checksum yang digunakan) sehingga menghasilkan sebuah format tertentu dari file tsb. Dikarenakan mudah untuk diimplementasikan. Checksum yang lazim digunakan diantaranya CRC16, CRC32, MD5, dll. Untuk penggunaan engine checksum sangat banyak ditemui di beberapa software AV lokal. Kesalahan scanning macam ini lazim ditemukan untuk file-file *.VBS, *.HTML, dll. Padahal file tsb nyatanya tidak menimbulkan efek berbahaya bila dijalankan atau dieksekusi. ![]() Pada contoh kasus Engine String scanner (–Engine scanner yang menyeleksi string-string dari file text-based), bila diterapkan rule 3 out of 5 (– bila AV menemukan 3 dari daftar 5 string kategori malicious) maka AV akan memberikan bahwa file terindikasi sebuah thread yang positif. Semua itu dapat diakibatkan oleh ketidak-sempurnaan dari engine scanner itu sendiri. Tidak jarang hasil dari pengecekan terhadap file suspect virus menghasilkan false-positive bahkan false-negative (– false-positive berarti file yang bersih dianggap thread oleh AV, dan false-negative berarti file yang 100% thread akan dianggap bersih). Decompress atau unpacking engine, khusus untuk pengecekan file-file yang terkompresi (*.rar, *.zip, dll) atau kompresi atau packing untuk file PE seperti UPX, MeW, dll. Engine statis sangat bergantung kepada komponen ini.ģ. Database definition, menjadi sebuah referensi dari sebuah pattern file virus. Heuristic menjadi salah satu contohnya.Ģ. Dinamis dalam artian dia mengenali perilaku ‘umum’ sebuah virus. Checksum merupakan salah satu contoh dari engine statis ini. Statis dalam hal ini dapat disebut menjadi spesifik terhadap pattern tertentu dari sebuah file virus. Engine ini dapat dikelompokkan menjadi statis dan dinamis. Engine scanner, ini merupakan komponen utama AV dalam mengenali sebuah pattern virus. Pertama kita harus mengerti bagaimana cara kerja sebuah AV sederhana, pada dasarnya sebuah software AV mempunyai komponen-komponen :ġ. Kalau kita membuat AV sendiri bagaimana? dengan database definisi yang bisa diupdate oleh kita bahkan dapat saling tukar dengan teman? Bisa saja, dengan syarat mau mempelajari sedikit teknik pemograman. Lalu bagaimana yang tidak mempunyai akses sama sekali? Konsekuensinya iyalah tertinggal dalam hal pengenalan varian virus baru yang pada ujung-ujungnya membuat AV yang sudah terinstall bagai ‘Macan Ompong’. Bagi penulis sendiri hal ini memang agak memberatkan mengingat update file definisi atau engine AV tsb haruslah melalui koneksi internet. Dengan menawarkan update definisi software AV tercepat, engine scanner paling sensitif, dan lain-lain merupakan kiat untuk memancing para korban virus membeli dan menggunakan software AV mereka. Sebut saja NORMAN, yang kini men-support perusahaan konsultan virus lokal (–VAKSIN.COM), Symantec, McAffe, NOD32, dan sebagainya. ![]() Bagi para vendor Anti Virus (–selanjutnya disingkat menjadi AV saja) fenomena ini adalah lahan bisnis untuk produk mereka. ![]() Bisa dibayangkan bila dari sekian banyak virus lokal tidak satu-dua yang menghancurkan data (terutama bagi file office word, excel, dll…). Sekarang kehadiran para virus maker (–selanjutnya disingkat jadi VM saja) lokal telah membuat gerah para user komputer tanah air. Penulis mohon maaf apabila seluruh/sebagian dari isi artikel ini sudah tersirat dalam artikel sejenis lainnya. Penggunaan nama, merek, atau logo hanya sebagai CONTOH dan REFERENSI saja, TIDAK ada maksud mempromosikan pihak tertentu. Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja. Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini. ![]()
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |