Monday, January 10, 2011

Mengenal Scan Engine Pada Antivirus

Scan Engine merupakan suatu bagian yang sangat vital pada program Antivirus. Scan Engine digunakan untuk mencari file-file untuk mendeteksi virus. Performa Scan Engine tentunya sangat signifikan dalam menentukan kualitas dari sebuah Antivirus. Ketika suatu Antivirus melakukan proses pencarian/scanning pada disk, maka Scan Engine akan meneliti file yang discan untuk dibandingkan dengan database virus atau virus pattern. Scan Engine yang baik tentunya dapat melakukan proses ini dengan sangat cepat dan penggunaan resource yang minimal.
Umumnya cara kerja Scan Engine yaitu dengan mencari suatu/beberapa string pada file yang discan. String disini dapat berupa suatu pattern/signature atau istilahnya dikenal dengan nama virus mask. Virus mask yaitu string unik dari bit-bit atau binary virus. Cara sederhana para pembuat Antivirus memakai MD5 untuk membuat virus pattern.
Tidak hanya menggunakan virus pattern, hampir semua Antivirus menggunakan teknik Variable Scan untuk mencari virus. Cara ini dipakai untuk mencari keberadaan virus-virus yang memakai teknik polymorphic atau terenkripsi. Pada teknik ini, ketika kita menscan suatu virus, sebenarnya yang terjadi adalah virus yang kita scan tersebut akan dijalankan pada emulator di Random Access Memory. Virus yang dijalankan tersebut tidak akan mengakibatkan kerusakan nyata karena emulator bersifat virtual computer. Saat virus dijalankan di emulator, maka Antivirus akan memonitor aktifitas virus. Saat di emulator virus akan melakukan proses dekripsi pada body-nya (ini merupakan aktifitas rutin virus polymorpic). Dengan adanya hal ini, Scan Engine dapat menangkap signature pada virus tersebut. Kelemahan dari teknik Variable Scan yaitu tidak semua virus polymorphic melakukan rutin dekripsi saat dijalankan di emulator atau hanya menjalankan setengah rutin dekripsi saja
Scan Engine dapat dilengkapi dengan teknik heuristik (sudah dibahas di tulisan saya sebelumnya) dan runtime packer (meng-unpack file yang dipacked, misalnya UPX) untuk membuat Antivirus yang kompleks.
Untuk source code Antivirus saya kira sudah banyak ya beredar, misalnya di www.ansav.com atau www.vb-bego.com . Sorry situsnya ditulis tanpa izin owner (kan biar tambah ngetop).
Demikian tulisan sederhana saya, mudah-mudahan menambah pengetahuan bagi yang belum mengenali teknik scanning pada Antivirus Thanks a lot...

Greetz to:
- 4NV|e & movzx, your scan engine/heuristic more than I expected lah. Great job!
- disconnect ( sahabat – sahabat gw)....
- Langga Gustanto n Tirta suryana yang sering ngajarin gW..hhehee…
- Jasakom
- Virus maker, jangan berniat nyebarin virus di warnet2 atau rental komputer!
- Teman2ku STMIK MIC

imet d’discoNnecT
http://imet91.blogspot.com

No comments:

Post a Comment