Sekedar informasi aja bagi yang sudi menggali informasi seputar AntiVirus, (tapi bagi yg udah ngerti silahkan menambah atau menyanggah), salah satu metode/modul yg digunakan untuk mendeteksi virus adalah dengan menggunakan CRC. Pada dasarnya, suatu file akan memiliki nilai CRC yg unik yg terdiri atas kombinasi huruf dan angka yang berjumlah 8 karakter, dan bila file tersebut di-copy-paste maka nilai CRC-nya akan persis sekalipun nama filenya beda, kecuali bila file salinannya di-edit, maka nilai CRC-nya akan berbeda, sekalipun editannya hanya menambah atau merubah 1 (satu) karakter saja. 1 | Singkat kata begini. Di lab, si produsen, si programmer akan mengumpulkan sampel virus-virus yg beredar di pasaran, jumlahnya mungkin puluhan, ratusan, atau ribuan, tergantung seberapa banyak keringat si programmer bercucuran untuk mengumpulkan virus. 2 | Virus-virus yang telah terkumpul tadi, kemudian di-deteksi dengan program pendeteksi CRC (sederhananya, kalian bisa manfaatkan WinRAR untuk mendeteksi CRC suatu file), kemudian file-file tersebut di decompiler untuk diidentifikasi namanya trus penciptanya (bila memungkinkan). 3 | Setelah semua virus telah dideteksi, maka hasil-hasilnya dibuat di dalam suatu database (file inilah yang kita update). 4 | Terakhir, ketika program antivirus kita gunakan, selama proses scanning, maka yang terjadi adalah program antivirus akan menyesuaikan nilai CRC file-file dokumen di komputer kita degan database CRC yang ada di antivirus, kalau ada yang sama berarti virus, kalau ngga sama berarti bukan. Tapi terkadang ada suatu file yang kita tau itu virus tapi ngga dideteksi sama antivirus, kenapa? Seperti yang disampaikan di atas, ketika suatu virus kode-nya berubah satu karakter aja, maka nilai CRC-nya akan berubah. Sebagai contoh: 1. Pada tanggal 1 Januari 2008 si-X membuat dan mengcompile virus “gadiscantikdanmanispujaanhatiku.exe”. 2. Seminggu kemudian, tepatnya pada tanggal 8 Januari 2008, si-A seorang produsen antivirus yang sedang riset virus yang beredar di pasaran untuk dibuat penangkalnya, menemukan virus “gadiscantikdanmanispujaanhatiku.exe” dan membawanya ke lab untuk diidentifikasi. Hasilnya, diketahui bahwa CRC file virus tersebut bernilai “5B43046A”, dan langsung saja database virus tersebut ditambahkan ke database antivirus miliknya yang di akan segera di-upload pada tanggal 9 Januari 2008 dengan nama “antivirusyangpalingmujarab.exe”. 3. Pada tanggal 15 Januari 2008, si-X mengetahui bahwa virusnya telah dideteksi oleh antivirus-A. Lantas, saat kembali ke kosan, langsung saja ia membuka file syntax virusnya dan meng-compile ulang virusnya, dan kembali melempar produk virus “gadiscantikdanmanispujaanhatiku.exe” (hasilnya berupa file virus yang sama persis tapi dengan CRC “D14FEDD7”) 4. Dengan demikian di pasaran terdapat virus yang sama persis tapi dengan CRC yang berbeda. Jadi kalau kita menggunakan “antivirusyangpalingmujarab.exe” yang notabene belum memiliki database virus “gadiscantikdanmanispujaanhatiku.exe” yang terbaru, maka antivirus si-A tersebut tidak akan dapat mendeteksi sampai si-A menemukan virus yang terbaru tersebut dan memasukan CRC-nya ke dalam database virusnya. PERLU DIPERHATIKAN, bahwa penggunaan metode CRC adalah salah satu cara untuk mengidentifikasi virus, di samping banyak cara lainnya.
Sumber: Forum national Geographic
0 komentar: