digilib@itb.ac.id +62 812 2508 8800

PENCEGAHAN IDENTIFIKASI LINGKUNGAN MESIN VIRTUAL PADA SISTEM OPERASI WINDOWS DALAM VIRTUALBOX OLEH MALWARE DENGAN MODIFIKASI FILESYSTEM, PROSES, DAN WINDOWS MANAGEMENT INSTRUMENTATION

Penulis : Annisa Rifky Zulmeika [18117031]
Kontributor / Dosen Pembimbing :
  • Ir. Hendrawan, M.Sc., Ph.D.
Jenis Koleksi : Tugas Akhir
Penerbit : Teknik Telekomunikasi
Fakultas : Sekolah Teknik Elektro dan Informatika
Subjek :
Kata Kunci : anti-VM, malware, skrip Powershell, Windows, VirtualBox
Sumber :
Staf Input/Edit : karya  
File : 11 file
Tanggal Input : 17 Jun 2021

Cover
PUBLIC karya
Abstrak dan Abstract
PUBLIC karya
Lembar Pengesahan
Terbatas karya
» ITB
Kata Pengantar
PUBLIC karya
Daftar Isi
PUBLIC karya
BAB I
Terbatas karya
» ITB
BAB II
Terbatas karya
» ITB
BAB III
Terbatas karya
» ITB
BAB IV
Terbatas karya
» ITB
BAB V
Terbatas karya
» ITB
Daftar Pustaka & Lampiran
Terbatas karya
» ITB

Anti-virtual machine (anti-VM), teknik deteksi lingkungan virtual yang digunakan malware, merupakan satu dari sekian tantangan bagi para peneliti malware untuk diatasi. Teknik ini digunakan malware untuk menghindari analisis pada lingkungan mesin virtual. Padahal mesin virtual (VM) diperlukan sebagai sarana analisis malware dalam mengamati perilaku berbahayanya. Dengan teknik ini, malware dapat mengubah perilakunya menjadi baik atau menghentikan aktivitas berbahayanya sehingga para peneliti tidak dapat melakukan analisis. Untuk mengatasinya, dipelajari teknik anti-VM pada malware untuk kemudian dibangun metode perlindungan pada VM agar terhindar dari deteksi malware. Melalui pendekatan ini, dihasilkan fakta bahwa malware mencoba menyembunyikan kehadirannya dengan lebih dulu memeriksa parameter-parameter yang menunjukkan keberadaan VM sebagai proses deteksi. Parameter tersebut ada yang diistilahkan sebagai artefak. Di antara artefak tersebut adalah filesystem, process, dan WMI. Dengan kata lain, malware akan beroperasi sebagaimana mestinya jika tidak dapat menemukan artefak tersebut ketika dijalankan. Terdapat perbedaan jenis artefak yang dideteksi malware tergantung pada hypervisor dan sistem operasi yang digunakan. Pada penelitian, ditawarkan solusi sistem pencegahan identifikasi artefak registry, alamat MAC, filesystem, proses, dan WMI pada VirtualBox dengan sistem operasi Windows melalui modifikasi. Namun, pada buku tugas akhir ini, sistem modifikasi yang dibahas hanya berfokus pada tiga artefak, yaitu filesystem, proses, dan WMI. Sistem modifikasi dirancang dan diimplementasikan menggunakan skrip Powershell yang kemudian diintegrasikan dalam bentuk file executable. Pengujian sistem dilakukan dengan menggunakan dua tool anti-VM, yaitu sems dan Pafish sehingga dapat mengetahui efektivitas sistem yang dibuat. Hasilnya menyatakan bahwa sistem berhasil melakukan modifikasi pada 21 jenis artefak filesystem, proses, dan WMI. Dari 21 artefak tersebut, sistem berhasil menyembunyikan 20 jenis artefak dari deteksi oleh tool anti-VM. Selain itu, sistem teruji dapat diaplikasikan pada Windows 7 32-bit dan Windows 10 64-bit.

Artikel Terkait