aq mw tanya, cara membaca header PE gimana yach, buat deteksi sality,
tolong pencerahanya ya...
makasih :D

aku pernah lihat sebuah source code (hanya diliatin) untuk mendeteksi sality/virut/alman. rumit banget men !!

membaca header sebuah file hanya langkah awal dalam memberi informasi dan offset dalam file tersebut.
ada beberapa bytes yang diperiksa, seperti biasa, merupakan karakteristik virus tersebut
karena sality merupakan virus polymorphic. tapi hashing crc32 juga bisa digunakan disini ..
tapi nanggung ga yah ?

kupikir cara itu juga digunakan oleh av lokal yg top top, seperti punya mas anvie :shy:

menunggu para sesepuh ansav disini yg turun gunung biar bisa jelasin ke kita-kita, mana yah dia :D

kalo pke crc32 cuma bisa buat ngitung yang induknya aja, lha yang gimana yang infected
sebenarnya ada 3teknik, pertama adalah pke string, ke 2 pke PE header yang tingkat deteksinya adalh 75 persen, satunya masih belum dikasih tw sama yang aq tanyain :D

@ mas HyperLinx
kalo hashing tu cuma buat file yang statis (gak pake acara menginject file lain) and kalo virus poly dideteksi pake metode hashing bisa kacau ntar..
setau saya Smada* masi mennggunakan metode ini, makanya si pembuat gak bisa (bukan gak mau) analisis virus luar (CMIIW)
soalnya kalo virus luar jenisnya membutuhkan 'peng-oprek-an' sedangkan kalo virus lokal kebanyakan cuma 'numpang lewat' dan mudah dibasmi..
@ TS
saya punya site, siapa tau membantu. klik di sini (http://morphians.wordpress.com/2010/03/09/deteksi-module-virus-sality-tanpa-checksum/)

saya punya site, siapa tau membantu. klik di sini (http://morphians.wordpress.com/2010/03/09/deteksi-module-virus-sality-tanpa-checksum/)

itu site morphic (http://www.morphic.co.nr/) atau morphostlab (http://morphostlab.co.nr/) punya mas ya ? :-?:-?:-?

@f3rd1
tentu saja bisa, tapi memang nanggung katanya ...
kalau menurut artikel morpians, tentu saja file wdrmtc32.dll sudah static. tapi sality kan pasti memblokir akses ke file tersebut.

@ mas dewa...
bukan mas...

@ mas hiper
saia kok gak mudeng ama penjelasan mas?
yg saia tau sality itu menginfeksi file, dan pasti file yang terinfeksi punya nilai hash yg beda, kalo metode scan untuk mendeteksi virus ini pake hash gimana jadinya?

@f3rd1
virus menginjeksi file lain pasti ada bagian yang static, maksudnya section dalam PE yang bisa dideteksi pakai string atau checksum.
yang jelas sih sality virus poly, makanya susah deteksinya.. :shy:

@dewaphobia
sepertinya orang (atau team) yang sama om..

@koza
biar ga OOT, diblog itu juga dibeberkan cara mendeteksi sality : _http://morphians.wordpress.com/2010/02/06/bagaimana-cara-morphost-mendeteksi-sality-rahasia-dibongkar/
bisa jadi referensi.
untuk membaca file header PE, ada contohnya di PSC

h**p://upload.ugm.ac.id/256PEInfo.zip

Credits goes to original author :cool:

http://morphians.files.wordpress.com/2010/02/image002.jpg?w=273&h=267mas M2R, maaf, open source yang mas kasih g ada yang ada dalam kurung,memang sama, tapi bedanya ya cuma itu, maaf ya ? apa ada yang komplit, soale yang dibutuhkan yang berkurung merah

klo mo yang super duper lengkap, cekidot (http://www.heaventools.com/overview.htm)

klo mo yang super duper lengkap, cekidot (http://www.heaventools.com/overview.htm)
selain yg disebutin bro dewaphobia, ini ada juga versi free ;) semoga bermanfaat
PE Tools: http://www.uinc.ru/files/neox/PE_Tools.shtml
explorer suite (NTCore): http://www.ntcore.com/exsuite.php
library untuk PE: http://www.pelib.com/index.php

atau kalau mau, download sourcenya Ansav yg lama trus pelajari ;)
(cek file "./inc/PEOperations.asm")
http://www.ansav.com/get.php?f=ScAnsav_asm.zip
:top:

Oalah, kn beda dikit mas koza, tgl ubah2 dikit lg itu :D

nih, yg mas minta h**p://upload.ugm.ac.id/275PEInfo1.zip

kmaren q ksh yg itu coz ukurannya kecil :p

bonus h**p://upload.ugm.ac.id/355kicktrafox.zip 100% MASM :cool:

boleh nih jadi referensi, ada yang tahu bedanya PE32 dengan PE32+ alias PE64 ?
apakah deklarasinya berbeda atau tipe unsigned 32-bit menjadi unsigned 64-bit.

:shy:

Oalah, kn beda dikit mas koza, tgl ubah2 dikit lg itu :D

nih, yg mas minta h**p://upload.ugm.ac.id/275PEInfo1.zip

kmaren q ksh yg itu coz ukurannya kecil :p

bonus h**p://upload.ugm.ac.id/355kicktrafox.zip 100% MASM :cool:
good... :top: bos M2R, n semuanya, makasih yach, buat add reference

boleh nih jadi referensi, ada yang tahu bedanya PE32 dengan PE32+ alias PE64 ?
apakah deklarasinya berbeda atau tipe unsigned 32-bit menjadi unsigned 64-bit.

:shy:

ane juga perlu nih informasi. mas M2R pasti bisa jawab.