Related Posts Plugin for WordPress, Blogger...

Tool untuk Menganalisa Static Sifat File Mencurigakan pada Windows



Meneliti sifat statis dari file yang mencurigakan adalah titik awal yang baik untuk analisis malware. Upaya ini memungkinkan Anda untuk melakukan penilaian awal dari file bahkan tanpa menginfeksi sistem lab atau belajar kode. Mari kita lihat beberapa jendela alat bantu gratis yang berguna untuk mengekstrak meta data tersebut dari executable berpotensi berbahaya.
Mari kita lihat beberapa analisis utilitas statis yang berjalan pada Windows.

Pe Studio

PE Studio by Marc Ochsenmeier adalah alat GUI untuk statis memeriksa berbagai aspek dari file Windows executable yang mencurigakan, seperti nama fungsi impor dan ekspor dan strings.You banyak rincian ini melalui cara lain, namun sangat nyaman untuk menangkap informasi ini pada satu tembakan.
Misalnya, PE Studio tidak hanya menunjukkan nama dan sifat-sifat lain dari bagian PE file, itu juga secara otomatis menghitung setiap bagian itu MD5 hash. Nilai hash dapat digunakan sebagai indikator kompromi(IOC), tetapi penulis malware dapat dengan mudah men-tweak spesimen untuk mengubah hash file. Untuk alasan ini, ini berguna untuk dicatat nilai hash dari bagian yang terdiri dari program jahat. Dengan cara ini, jika penyerang mengubah sebagian dari file tersebut, nilai-nilai hash dari satu atau lebih bagian mungkin masih cocok sebagai IOC.


Mungkin yang paling berguna, PE Studio secara otomatis bendera aspek dari file yang bisa menunjukkan bahwa adalah berbahaya, seperti yang Anda lihat di bawah ini. Indikator-indikator ini termasuk "daftar hitam" string dan panggilan API, seperti yang ditunjukkan di bawah ini. PE Studio juga dapat permintaan VirusTotal untuk informasi yang mungkin berisi yang cocok dengan hash dari file yang Anda memeriksa, jika sistem lab Anda terhubung ke Internet.


PE Studio juga menunjukkan "meta" informasi yang dapat tertanam ke dalam file untuk menggambarkan penulis dan versi.Rincian tersebut dapat dengan mudah dipalsukan, tetapi pada waktu mereka dapat digunakan sebagai IOC potensial

Peframe

Peframe oleh Gianni Amato adalah alat baris perintah yang secara otomatis dapat mengekstrak file properti statis, menampilkan beberapa informasi yang Anda dapat menjelajahi secara interaktif dengan PE Studio.Peframe dapat menghitung hash, ekstrak rincian PE header, mengidentifikasi packers umum, mendeteksi panggilan API yang mencurigakan, dan lain-lain


Peframe ditulis dalam Python. Ini berjalan dengan baik pada Windows, selama Anda menginstal runtime Python.
ExifTool

Sebagai nyaman sebagai PE Studio dan peframe adalah, kadang-kadang itu bagus untuk memiliki alat baris perintah yang dirancang untuk satu pekerjaan tertentu. Selain itu, itu umumnya ide yang baik untuk dimasukkan ke dalam beberapa alat toolkit Anda yang melakukan fungsi yang sama. Misalnya, ExifTool Phil Harvey dapat mengekstrak berbagai data meta tertanam ke dalam file. Ini benar-benar bersinar ketika menganalisis gambar, tetapi juga dapat mengekstrak beberapa data dari Windows executable, seperti yang Anda lihat di bawah ini.


Strings2

Alat baris perintah lain yang berguna untuk memeriksa sifat statis dari file yang strings2 oleh Geoff McDonald.Dalam banyak hal, itu mirip dengan utilitas tali-extracting tradisional yang Anda kenal. Salah satu fitur bagus dari strings2 adalah kemampuannya untuk mengekstrak ASCII dan string Unicode-dikodekan dalam satu langkah.

Apa yang membuat strings2 cukup unik adalah kemampuannya untuk mengekstrak string dari proses yang berjalan. Tentu, Anda bisa melakukannya dengan menggunakan alat GUI seperti Process Explorer dan Proses Hacker , tapi kadang-kadang lebih mudah untuk bisa mendapatkan informasi ini dari command prompt. Sebuah proses akan mengungkapkan string yang tidak terlihat di dalam file sampai program berjalan. Saya ngelantur, meskipun. Setelah semua, penggalian data dari proses yang berjalan bukan teknik analisis malware statis.
Signsrch

Alat lain yang layak disebut dalam konteks ini adalah Signsrch byLuigi Auriemma. Utilitas ini berguna statis dapat memeriksa file untuk melihat pola "kompresi, multimedia dan enkripsi algoritma dan banyak hal lainnya seperti string dikenal dan kode anti-debugging."


Exeinfo PE

Exeinfo PE adalah alat yang berguna untuk memeriksa berbagai aspek dari executable Windows. Ini terutama baik untuk mengidentifikasi tanda tangan dari packers yang sering digunakan. Dalam contoh di bawah, Exeinfo PE bendera file sebagai yang dikemas dengan UPX , sebuah utilitas yang populer untuk obfuscating program.Exeinfo PE bekerja dengan baik, tapi saya tidak tahu siapa yang menulis itu, karena alasan ini, saya hanya menjalankannya dalam sebuah analisis malware lab terisolasi .


Meskipun UPX generik relatif mudah untuk memotong (hanya menggunakan perintah "upx-d"), sering digunakan oleh penulis malware . Hal ini memungkinkan Anda untuk terus memeriksa file dalam bentuk yang kurang terlindungi.
CFF Explorer

Untuk menguji rincian tambahan dari file executable Windows, pertimbangkan memuat spesimen ke CFF Explorer oleh Daniel Pistelli. Alat ini memungkinkan Anda mengedit isi dari file header PE. Misalnya, jika Anda memutuskan untuk menganalisis kode file pada Windows 8.1, Anda harus clearthe bendera DynamicBase di bidang DllCharacteristics untuk berurusan dengan fitur ASLR OS . CFF Explorer menyebut bidang ini "DLL dapat bergerak", seperti yang ditunjukkan di bawah ini.


Ketika Anda memeriksa sifat statis dari file yang mencurigakan, Anda akan dapat menilai apakah itu menjamin pemeriksaan yang lebih menyeluruh dengan menggunakan teknik analisis malware lainnya . Anda akan dapat menentukan mana untuk memfokuskan upaya analisis berikutnya Anda untuk menentukan apakah file tersebut, memang, berbahaya, seberapa buruk itu, bagaimana mendeteksi dan bagaimana untuk memeriksa terbaik itu.
Jika topik ini yang anda, pertimbangkan untuk bergabung baru-refresh dan diperluas SANS FOR610 saja , yang mengajarkan bagaimana mengubah malware dari dalam ke luar. Juga, tune ke gratis forensik malware webcast direkam oleh fakultas SANS dan menjelajahi link ke artikel disertakan di atas.
Daftar alat di atas adalah tidak lengkap. Apa alat favorit Anda untuk memeriksa sifat statis file yang mencurigakan dan berbahaya?









Read more »
Diposting oleh Rizky Primadona di 12.34 0 komentar

 

INSTALL ZEOS PADA LAZARUS


Salam , dan Selamat Malam
Pada Postingan kali ini saya akan memperkenal apa Itu Zeos DBO
Zeos DBO merupakan package yang diperlukan untuk Lazarus dan Delphi sebagai Jembatan Atau untuk mengkoneksikan database dengan Projetk yang akan kita buat pada Lazarus Maupun delphi.
Database yang di dukung oleh Zeos cukup banyak diantaranya MySQL/MariaDB.Oracle,Postgresql dll
anda dapat mendowload Package  Zeos Disini

Selanjutnya Saya akan Memberikan Tutorial bagaimana Cara Menginstalkan package Zeos Ini Pada Lazarus yang sudah sebelumnya saya Instal pada Linux untuk meriview cara Instalnya anda Bisa cek postingan Sya sebelumnya Disini

OK Langsung Saja ,,
Pada Langkah Pertama Silahkan Anda Extract Dulu Package Yang Sudah Anda Download Tadi
Setelah anda Extract kemudian Silahkan anda buka IDE lazarus
Pada IDE Lazarus Anda Dapat Melihat menu pada toolbar ,
Pada toolbar silahkan anda cari menu dengan Nama Package seperti Pada Gambar Di bawah ini

menu Package Lazarus

Pada Sub Menu Package Silahkan anda pilih Open Package File (.lpk)  maka akan Muncul popup Menu Seperti pada gambar 


kemudian silahkan anda masuk pada folder zeos yang Sudah Di extract Tadi
ZEOSDBO-6.6.6-stable - packages - lazarus setelah anda masuk Pada Directory tersebut silahkan Anda buka zcomponent.lpk 

kemudian akan Muncul seperti gambar dibawah ini


Sebelum anda mengklik tombol Install anda Harus Men-Compile nya terlebih Dahulu .
setelah Selesai meng-Compile Silakan anda klik tombol Install.


apabila Anda Sudah selesai menginstal maka akan keluar pesan untuk reStart IDE Lazarus Anda ,
silahkan Anda Pilih Yes

Setelah anda  Lazarus Di buka Kembali Secara Otomatis Anda Dapat Melihat Komponen ZEOS tadi yang Sudah Kita Install , berikut Penampakannya,

                                      

Demikianlah Tulisan Singkat Saya ini mengenai cara Install Zeos Sebagai jebatan Atau Penghubung koneksi Database Pada IDE Lazarus.
kalau ada kekurangan atau kesalahan Silahkan Kita koreksi Bersama TRims' Salam :)
Di tunggu Komentarnya :D


Read more »
Diposting oleh Rizky Primadona di 03.23 0 komentar

 

Intro IDE Lazarus IDE di Linux




Bismillahhirahmanirahim .
salam . sebenernya saya mau serching mengenai Windows 8.1 untuk bahan persentasi kuliah kapita selekta , eh gk tau kenapa malah pengen menulis di blog , langsung saja (gk usah sok bnyak Intro)
pada malam ini saya akan memperkenalkan apa itu Lazarus IDE
(buat yang sudah tau jangan dibaca ya ^_^)

APA ITU LAZARUS...?

Lazarus adalah lingkungan pengembangan terpadu (LPT) sumber terbuka bagi pengguna bahasa pemrograman Pascal danObject Pascal yang menyediakan lingkungan pengembangan yang mirip dengan Delphi. LPT ini dibangun untuk dan didukung oleh kompilator Free Pascal (FPC). Mempunyai moto Write Once Compile Anywhere artinya hanya dengan sebuah kode sumber program dapat dikompilasi di semua platform OS (Windows, Linux, Mac OS dan lain-lain.) dan arsitektur (i386, x86_64, arm dan lain-lain) yang didukung. Kompilasi silang juga dapat dilakukan.
Lazarus dibangun di atas kerangka yang juga digunakan untuk menghasilkan aplikasi yang dibuat di atasnya, yaitu Lazarus Component Library (LCL). Baik Lazarus maupun LCL murni ditulis dalam bahasa Object Pascal. LCL ini merupakan abstraksi untuk berbagai pustaka grafis yang digunakan untuk menampilkan antarmuka dari aplikasi. Saat ini, terdapat beberapa pustaka grafis yang didukung,

Licensi
Seperti Free Pascal, Lazarus adalah perangkat lunak bebas. Bagian yang berbeda didistribusikan di bawah lisensi perangkat lunak bebas yang berbeda, termasuk GPL, LGPL, MPL, dan versi modifikasi dari LGPL.

Secara khusus, LCL, yang statis dibangun ke dalam executable yang dihasilkan, dilisensikan di bawah versi modifikasi dari LGPL, pemberian izin tambahan yang memungkinkan untuk pengembangan statis ke dalam perangkat lunak yang dihasilkan, termasuk yang berpemilik.

Perhatikan bahwa menginstal paket desain-waktu setara dengan menghubungkannya ke IDE. Dengan demikian, mendistribusikan Lazarus IDE dengan paket desain-waktu GPL yang tidak kompatibel (misalnya paket JEDI, yang dilisensikan dengan lisensi Mozilla Public License), dalam pra-instal akan menyebabkan pelanggaran lisensi. Meskipun perangkat lunak ini tidak melarang paket pribadi(yang memiliki pemilik) yang sedang dikembangkan dengan Lazarus.


Sumber (wikipedia)

untuk lebih lengkap silahkan kunjungi situ resminya di http://www.lazarus.freepascal.org/

Instalasi.

Pada tulisan kali ini saya akan memasang Lazarus Pada Linux dengan Distro Backtrack Gnome 5r3.
ok langsung saja pada langkah pertam (pastikan anda sudah tekoneksi Internet) karna kita langsung Instalasi dari Repository.
pada tahap pertama Silahkan Anda buka teminal anda dengan menekan Ctrl + Alt + T
pada terminal Silahkan anda ketikan

1. apt-get install lazarus

2. y


Setelah Instalasi selasai Silahkan Anda jalan kan Lazarus Anda dari menu pada tab Programing


Dan Untuk Penampakan Anda bisa lihat pada gambar D bawah


nah demikian dulu sedikit tulisan dari saya , masih bnyak kekurangan harap di maklumi ..
HOammm z  ngantuk Mas brow..

Read more »
Diposting oleh Rizky Primadona di 05.27 0 komentar

 
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. {Rizky} - All Rights Reserved
Template Created by Creating Website Published by Mas Template
Proudly powered by Blogger