Anti Virus Software

Anti-virus software adalah sebuah program komputer yang digunakan untuk memeriksa file-file dengan tujuan mengidentifikasi dan menghapus virus komputer dan malware lainnya.
Pada saat ini ada tiga jenis teknologi anti virus yang lazimnya digunakan, yaitu: scanners, monitors, dan integrity checkers.

• Scanners

Scanners adalah program yang memeriksa file–file executable untuk menemukan rangkaian kode yang merupakan bagian dari komputer virus yang telah diketahui sebelumnya. Pada saat ini scanners adalah jenis program anti virus yang paling banyak digunakan dengan alasan kemudahan dalam proses maintenance (pemeliharaan). Pada dasarnya scanners terdiri atas:

1. Search Engine
2. Database yang berisi rangkaian kode sekuensial dari virus yang telah diketahui sebelumnya (sering kali disebut juga virus signatures atau scan strings).
   

Jika sebuah virus baru ditemukan, maka database akan di-update dengan signature yang dimiliki hanya oleh virus tersebut dan tidak terdapat di dalam program lainnya. Hal ini dapat dilakukan tanpa memerlukan pemahaman yang lebih jauh mengenai virus tersebut.
Beberapa kelemahan yang dimiliki scannners adalah:

• Scanners harus tetap dijaga agar up-to-date secara terus menerus karena scannershanya dapat mendeteksi virus yang telah diketahui sebelumnya.
• Scanners cenderung rentan terhadap virus polymorphic yang memiliki kemampuan untuk mengubah/mengkodekan dirinya sendiri sehingga terlihat berbeda pada setiap file yang terinfeksi. Hal ini dapat diatasi dengan memahami mutation engine yang terdapat di dalam virus tersebut secara mendetail.
• Proses scanning yang dilakukan dalam mendeteksi keberadaan virus-virus cenderung bersifat time-consuming, mengingat keberadaan virus-virus, worms, dan trojan horses dengan jumlah yang luar biasa banyaknya.

• Monitors

Monitors adalah program yang ‘tinggal’ (besifat residensial) di dalam memory komputer untuk secara terus menerus memonitor fungsi dari sistem operasi yang bekerja. Pendeteksian sebuah virus dilakukan dengan memonitor fungsi-fungsi yang diindikasikan berbahaya dan memiliki sifat seperti sebuah virus, seperti merubah isi dari sebuah file yang executable dan tindakan-tindakan yang mem-bypass sistem operas. Ketika sebuah program mencoba melakukan hal-hal di atas, maka monitors akan memblok eksekusi dari program tersebut. Tidak seperti halnya scanners, monitors tidak memerlukan update secara terus menerus. Namun kelemahan utama dari monitors adalah kerentanan terhadap virus tuneling yang memiliki kemampuan untuk mem-bypass program monitors. Hal ini dikarenakan pada sistem operasi PC pada umumnya, sebuah program yang sedang dieksekusi (termasuk sebuah virus) memiliki akses penuh untuk membaca dan mengubah daerah manapun di dalam memori komputer bahkan yang merupakan bagian dari sistem operasi tersebut sehingga monitors yang juga merupakan bagian dari memori komputer dapat dilumpuhkan. Kelemahan porgram monitors lainnya adalah kesalahan yang kerap kali dilakukannya mengingat pendeteksian virus didasarkan pada kelakuan-kelakuan seperti yang disebutkan di atas, sehingga kerap kali fungsi dari sebuah program lain (yang bukan merupakan virus komputer) dianggap sebagai sebuah virus.

• Integrity Checkers

Integrity checkers adalah program yang mampu mendeteksi objek executable lain yang telah dimodifikasi dan mendeteksi infeksi dari sebuah virus. Integrity checkers bekerja dengan cara menghitung checksum (menghitung integritas) dari kode-kode program yang executable dan menyimpannya di dalam sebuah database. Kemudian secara periodik checksum dari program-program tersebut akan dihitung ulang dan dibandingkan dengan database checksum tersebut. Beberapa pakar menilai bahwa database checksum ini harus dilalui proses kriptografi setelah proses perhitungan checksum selesai, untuk menghindari usaha modifikasi yang dapat dilakukan oleh virus komputer.
Pada saat ini terdapat beberapa jenis integrity checkers:

1. Off-line integerity checkers: perlu di-run terlebih dahulu untuk memeriksa checksum dari seluruh kode executable yang terdapat di dalam sistem komputer ybs.
2. Integrity checkers yang bekerja dengan cara membuat modul-modul yang akan diattach pada file executable dengan bantuan program khusus tertentu. Sehingga bila file executable tersebut dijalankan, ia akan melakukan proses perhitungan checksumnya sendiri. Namun hal ini memiliki kekurangan karena tidak seluruh file executable dapat diperlakukan seperti ini, dan integrity checkers jenis ini dapat dengan mudah di-bypass oleh virus steath.
3. Jenis terakhir dari integrity checkers yang bersifat residensial (mendiami) memori dan akan melakukan perhitungan ketika objek executable dieksekusi.

Integrity checkers tidak bersifat virus-specific sehingga tidak memerlukan update msecara terus menerus seperti scanners. Selain itu karena integrity checkers tidak berusaha memblok kerja dari virus komputer seperti halnya monitors, maka integrity checkers tidak dapat di-bypass oleh virus tunneling.
Beberapa kekurangan yang dimiliki integrity checkers:

1. Integrity checkers tidak memiliki kemampuan untuk mencegah proses penginfeksian oleh sebuah virus. Ia hanya dapat mendeteksi dan melaporkan hasil pendeteksian yang dilakukannya tersebut.
2. Integrity checkers pertama kali harus di sistem yang bebas virus, jika tidak maka hasil perhitungan pertama yang dilakukannya merupakan hasil perhitungan yang telah terinfeksi. Sehingga pada umumnya, pada saat proses peng-install-an program integrity checkers dilengkapi dengan scanners untuk memastikan sistem bebas virus.
3. Integrity checkers rentan terhadap false positive (kesalah indikasi keberadaan virus pada program yang sebenarnya bebas virus) , karena integrity checkers mendeteksi perubahan bukan virus.
4. Integrity checkers tidak dapat mendeteksi sumber dari infeksi virus, walaupun dapatmendeteksi proses penyebaran virus dan mengidentifikasi objek yang baru terinfeksi.
5. Integrity checkers rentan terhadap slow viruses, karena slow virus menginfeksi filetarget ketika file tersebut ditulis ke dalam disk. Meskipun adanya kekurangan-kekurangan di atas, banyak pakar menganggap integrity checkers sebagai pertahanan yang paling baik terhadap ancaman virus komputer dan malware lainnya.
   

sumber : http://www.cert.or.id/~budi/courses/ec5010/projects/leo-report.pdf

untuk lebih memahaminya silahkan download di sini

Posted in: Anti Virus Software,Integrity Checkers,Monitors,Scanners