JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011
ISSN : 2086 - 4981
RECOVERY DATAOFFICE YANG TERINFEKSI VIRUS MENGGUNAKAN METODA STATIS DAN DINAMIS Des Suryani1 Putra Adiatma2
ABSTRACT With the rapid development of technology at this present moment, make the need of information is increasing. Various aspects of human needs has been made easier, whether it helps human beings or to act beyond the limits that apply. By looking at the negative impact of developments in information technology, making some people who have the ability to perform an act which was detrimental to both the making of a virus, trojan, exploitation, or sabotage resulting in an agency. Various kinds of viruses detected by antivirus, whether it is malware or a virus that infects office. Not many of them losing the data so feel aggrieved because their data is also deleted by anti-virus that they wear. This paper is designed to provide data recovery solutions tto office that can clean the infected office data completely by comparing the static and dynamic methods that can improve the data with the same type of virus variants or different. Keywords: Recovery, Virus INTISARI Dengan pesatnya perkembangan teknologi pada saat sekarang ini, membuat kebutuhan tentang informasi semakin meningkat. Berbagai aspek kebutuhan manusia telah dipermudah, baik itu membantu manusia ataupun melakukan tindakan diluar batasan-batasan yang berlaku. Dengan melihat dampak negatif dari perkembangan teknologi informasi, membuat sebagian orang yang memiliki kemampuan melakukan suatu tindakan yang merugikan, baik itu pembuatan virus, trojan, exploitasi, atau sabotase yang ditimbulkan dalam suatu instansi. Berbagai macam virus dideteksi oleh antivirus, apakah itu malware ataupun virus yang menginfeksikan office. Tidak banyak dari mereka kehilangan data sehingga merasa dirugikan karena data mereka juga ikut terhapus oleh anti virus yang mereka pakai. Tulisan ini dibuat untuk memberikan solusi tuntuk recovery data office yang bisa membersihkan data office yang terinfeksi secara tuntas dengan membandingkan metoda statis dan dinamis yang dapat memperbaiki data dengan jenis virus varian yang sama ataupun berbeda.
Kata kunci : Recovery, Virus
1 2
Fakultas Teknik Universitas Islam Riau Fakultas Teknik Universitas Islam Riau
65
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011 PENDAHULUAN Seiring dengan perkembangan teknologi, kebutuhan manusia terhadap teknologipun semakin meningkat. Dengan teknologi informasi akan dapat membantu dan memudahkan pekerjaan. Oleh karena itu, para pengembang teknologi informasi selalu membuat inovasi-inovasi baru guna memenuhi kebutuhan konsumen. Komputer merupakan salah satu hasil teknologi yang sangat dibutuhkan oleh masyarakat didalam menyelesaikan pekerjaan mereka dengan lebih efisien dan efektif [1]. Dengan perkembangan teknologi informasi yang pesat dan global, bukan berarti tidak memiliki kendala maupun masalah didalam pengoperasiannya terutama bagi penggunanya. Salah satu kendala adalah serangan virus. Keadaan ini secara tidak langsung akan mengganggu pengguna dalam pekerjaannya. Melihat sangat maraknya perkembangan virus-virus lokal pada saat sekarang ini membuat para developer lokal lahir dan mencoba untuk mencari solusi terhadap masalah yang ditimbulkan, mulai malware yang bersifat hanya mengganggu hingga virus yang menginfeksikan file-file office yang ada dalam folder penting seperti Microsoft Word, Microsoft Excel, Microsoft Power Point, Microsoft Access dan lain sebagainya. Hal ini merupakan masalah besar bagi yang bekerja pada Microsoft Office karena data yang telah tersimpan bisa hilang atau termodifikasi oleh virus yang tidak tahu datangnya darimana sementara software security seperti antivirus hanya dapat mendeteksi dan memberikan solusi untuk menghapus file tersebut atau software anti virus lokal yang hanya merecoveri satu jenis varian virus dengan jenis varian dan algoritma yang berbeda [2].
ISSN : 2086 - 4981
PENDEKATAN PEMECAHAN MASALAH Gambaran Tentang Virus Komputer Virus komputer didefinisikan sebagai [3]: a. Sebuah program yang mampu melakukan duplikasi dirinya didalam sistem komputer yang dimasukinya, dan memiliki potensi besar untuk melakukan manipulasi terhadap sistem tersebut. b. Virus adalah sebuah kode komputer yang dapat dijalankan dan berukuran kecil dengan kemampuan memperbanyak diri, baik dengan cara menempelkan sebagian atau seluruh file atau aplikasi program, dan mengakibatkan komputer melakukan hal-hal yang tidak diinginkan. Pada awalnya program virus diciptakan untuk melindungi program yang dibuat oleh programmer agar karyanya tidak dibajak oleh orang lain. Tetapi hal ini kemudian berkembang menjadi suatu hal yang menimbulkan dampak negatif ketika orang mulai menggunakan virus komputer bukan lagi untuk melindungi karyanya tetapi sudah mulai melakukan tindakan destruktif yang bertujuan menghancurkan lawan atau musuh. Sampai saat sekarang berkembang model-model virus yang mampu melakukan kegiatan mata-mata, penghancuran dokumen, pemalsuan dokumen, dll. Berbeda dengan virus biologis yang biasa kita kenal, virus komputer tidak dapat menginfeksi manusia atau makhluk biologis lainnya. Jadi, ketakutan akan tertular virus komputer adalah sebuah salah kaprah. Berikut ini adalah beberapa
66
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011 perbedaan antara virus komputer
ISSN : 2086 - 4981
dan virus biologis.
Tabel 1. Perbandingan Virus Komputer dengan Virus Biologis Virus Komputer Mampu menginfeksi sistem komputer Mempunyai indentitas tersendiri berupa string-string byte yang berbeda dengan virus lain Mampu memanipulasi sistem, dan berpotensi untuk merusaknya Mampu melakukan "mutasi", sehingga setiap infeksi menghasilkan virus yang berbeda Berkembang biak dengan melakukan overwrite atau safe infection Dapat memiliki time bomb logic Beberapa virus terbaru mampu menyembunyikan dirinya didalam system Beberapa virus terbaru mampu menggagalkan proses debugging sebagai sarana pembentuk serum
Virus Biologis Mampu menginfeksi makhluk biologis Mempunyai kode genetik yang unik dan berbeda dengan virus lainnya Mampu menimbulkan penyakit dan kerusakan sel, hingga kematian Mampu bermutasi secara spontan berdasarkan lingkungan dimana dia tinggal untuk mempertahankan hidup Berkembang biak dengan menciptakan kode genetik baru yang pada akhirnya membentuk tubuh virus baru Beberapa virus tidak menunjukkan gejala-gejala infeksi hingga batas stadium tertentu Beberapa virus hingga saat ini tidak dapat dibasmi dan dibunuh c. Virus makro: ditulis dengan
menggunakan bahasa pemrograman makro yang disederhanakan, dan menginfeksi aplikasi Microsoft Office, seperti Word dan Excel, dan saat ini diperkirakan 75 persen dari jenis virus ini telah tersebar di dunia. Sebuah dokumen yang terinfeksi oleh virus makro secara umum akan memodifikasi perintah yang telah ada dan banyak digunakan (seperti perintah "Save") untuk memicu penyebaran dirinya saat perintah tersebut dijalankan. d. Virus multipartite: menginfeksi baik file dan boot-sector--sebuah penjahat berkedok ganda yang dapat menginfeksikan sistem terus menerus sebelum ditangkap oleh scanner antivirus. e. Virus polymorphic: akan mengubah kode dirinya saat
Kategori Virus Saat ini banyak jenis variasi virus yang beredar, kebanyakan di antaranya dapat dikelompokkan menjadi enam kategori umum, Diantaranya yaitu : a. Virus boot-sector: menggantikan atau memasukkan dirinya ke dalam boot-sector--sebuah area pada hard drive (atau jenis disk lainnya) yang akan diakses pertama kali saat komputer dinyalakan. Virus jenis ini dapat menghalangi komputer untuk melakukan booting dari hard disk. b. Virus file: menginfeksi aplikasi. Virus ini melakukan eksekusi untuk menyebarkan dirinya pada aplikasi dan dokumen yang terkait dengannya saat file yang terinfeksi dibuka atau dijalankan.
67
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011
f.
dilewatkan pada mesin yang berbeda; secara teoritis virus jenis ini lebih susah untuk dapat dideteksi oleh scanner antivirus, tetapi dalam kenyataannya virus jenis ini tidak ditulis dengan baik, sehingga mudah untuk diketahui keberadaannya. Virus stealth: menyembunyikan dirinya dengan membuat file yang terinfeksi tampak tidak
ISSN : 2086 - 4981
terinfeksi, tetapi virus jenis ini jarang mampu menghadapi scanner antivirus terbaru. Teknologi Penulisan Virus Dengan seiring perkembangan teknologi antivirus, perkembangan virus juga mengambil peranan penting, seperti banyak dari pemrograman virus yang melakukan teknik-teknik baru dalam penulisan virus diantaranya, yaitu:
Tabel 2. Metode Penulisan Virus Metode Polymorphic
Keterangan virus akan mengubah dirinya pada setiap tahap infeksi, sehingga menyulitkan proses identifikasi virus
Encryption
virus melakukan enkripsi terhadap tubuh virus maupun file yang diinfeksinya
Anti-Debugging
virus berusaha menggagalkan proses debugging, dan tak jarang mampu mengunci komputer setiap kali virus berusaha didebug virus berusaha menutupi kehadiran dirinya didalam sistem dari segala bentuk pendeteksian
Steath Self-modifyng
mirip dengan polymorphic
Cara Kerja Virus Masuk Ke Komputer Ada beberapa jalan yang dapat dipergunakan oleh virus komputer dalam melakukan aksinya. Jalan tersebut dapat melalui media berikut ini : Software-software bajakan besar kemungkinan mengandung virus dari komputer tempat software tersebut digandakan. Untuk itu perlu berhati-hati sekali dengan program-program bajakan, terlebih lagi dengan aplikasi games. Disket atau CD juga merupakan media virus memasuki sistem komputer baik disket atau CD dari
badan-badan yang terpercaya ataupun tidak. Email-email dari internet. Tidak tertutup kemungkinan email tersebut memuat script virus atau bahkan mengandung attachment berupa program terinfeksi virus. Anti Virus. Sifat beberapa anti virus yang hanya mengadakan pengujian pada awal byte, tidak melakukan proses self-chek. Program virus dapat diuninstall dan tidak memiliki batas merupakan hal potensial yang digunakan untuk penyebaran virus komputer.
Mendeteksi Keberadaan Pada Sistem Komputer
68
Virus
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011 Ada banyak cara untuk mendeteksi keberadaan virus pada sistem. Di antaranya adalah seperti tanda-tanda di bawah ini yang kemungkinan mengindikasikan adanya virus komputer pada sistem. a. Penambahan ukuran file tanpa alasan yang jelas. Hal ini mengindikasikan adanya virus. b. Program tidak berjalan secara normal dan diikuti dengan pesan-pesan error. Atau adakalanya disertai dengan animasi-animasi (walaupun menarik). c. Adanya perubahan-perbahan struktur direktori tanpa sebab. d. Penurunan jumlah memori yang tersedia yang disebabkan bukan karena komputer sedang menjalankan programprogram komputer.
ISSN : 2086 - 4981
office yang diinfeksi oleh bermacammacam virus infeksi office dengan menggunakan satu metode saja, walaupun juga menggunakan metode terhadap signature virus itu sendiri. Analisa Portable Executable File Sesuai yang telah dibahas pada struktur file Portable Executable (PE) maka informasi yang dapat diambil yaitu : a) Pengambilan signature file virus untuk pendeteksian virus: AddressOfEntryPoin t yaitu alamat dimana loader akan memulai. SizeOfCode yaitu ukuran dari section code. SizeOfImage yaitu ukuran dari image yang akan diload oleh loader. TimeDateStamp yaitu berisi tanggal linker memproduksi file PE. b) Penghitungan besar ukuran file virus yang menempel pada file office. Hal tersebut bisa didapatkan dengan cara mengambil section terakhir pada suatu file virus dan menambahkan SectionHeader>PointerToRawData dengan SectionHeader>SizeOfRawData. c) Mendapatkan ukuran seluruh file (File virus + File Office) sebagai pembatas scanner dengan cara menggunakan function Application Programming Interface (API) yaitu:
Berdasarkan peninjauan yang dilakukan secara keseluruhan, penginfeksian file office yang dilakukan virus menggunakan metode yang berbeda-beda. Hal ini terbukti dengan adanya : Perbedaan signature file yang diinfeksikan antara file yang satu dengan file yang lainnya. Perbedaan signature dari pembatas suatu file yang diinfeksikan oleh virus. File aplikasi virus yang berlapislapis sehingga mempersulit dalam pembersihan file. Oleh sebab itu, dipandang perlu dilakukannya untuk menyelesaikan masalah ini dengan menggunakan satu terobosan jitu yaitu dengan diciptakannya metode pendeteksian awal dan pembatas file dengan menggunakan algoritma berdasarkan signature dari file office itu sendiri. Dengan menerapkan metode ini dapat kiranya memperbaiki data
HANDLE CreateFile( LPSTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode,
69
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011 LPSECURITY_ATTRIBUTES lpSecurityAttributes. DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTamplateFile ); Dari handle yang telah didapatkan, kemudian dilanjutkan dengan : DWORD GetFileSize(
ISSN : 2086 - 4981
HANDLE hFile, LPDWORD lpFileSizeHigh ); Hasil tampung atau pengembalian DWORD akan menghasilkan ukuran File. Untuk lebih jelasnya akan diterangkan pada gambar 1.
70
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011
ISSN : 2086 - 4981
"MZ" "PE\0\0"
TimeDateStamp
Image File Header
AddressOfEntryPoint, sizeOfCode, SizeOfImage
Image Optional Header Data Directory Array Section table -
Section - 0 Section - 1 Section - 2 Section – n
sect-n --> PointerToRawData + sect-n --> SizeOfRawData
COFF Line Numbers COFF Symbols CodeView Debug Information Batas data Virus - Signature doc : 0xd0,0xcf,0x11 ,0xe0,0xa1,0xb1,0x1a ,0xe1
Data Office
- Signature xls : 0xd0,0xcf,0x11 ,0xe0,0xa1,0xb1,0x1a ,0xe1 Signature akhir : 0x45,0x78,0x63,0x65,0x6c ,0x00,0x40,0x00 - Signature rtf : 0x00,0x01,0x00,0x00,0x53 ,0x74,0x61,0x6e - Signature mdb : 0x00,0x01,0x00,0x00,0x53 ,0x74,0x61,0x6e
Ukuran Seluruh File
Gambar 1. Susunan PE(Portabel Excutable) dan informasi struktur bagian Analisa Proses Recovery Pada tahapan ini akan dibahas tentang proses perbaikan data office
yang terinfeksi virus menggunakan beberapa yaitu:
71
dengan metode,
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011
ISSN : 2086 - 4981
1. Recovery Statis b. Signature dari file Pointer awal Clean office tersebut. ditentukan dari penanda virus Daftar tabel spesifikasi metode itu sendiri. recovery terhadap daftar virus yang 2. Recovery Dinamis telah berkembang pada saat Pointer awal Clean sekarang ini : ditentukan dari : a. Ukuran file virus tersebut. Tabel 3. Metode Recovery Nama Virus W32/FluBurung W32/Kspoold W32/Godham W32/InfDocGlb (virus infeksi dokumen secara umum)
Metode Recovery Recovery Statis/Recovery Dinamis Office Recovery Statis/Recovery Dinamis Office Recovery Dinamis Office Recovery Dinamis Office
Tahapan proses recovery dapat dijelaskan sebagai berikut : 1. Melakukan pembukaan file untuk mendapatkan ukuran seluruh file. 2. Mendapatkan ukuran virus untuk mulai awal pencarian signature office. 3. Membuat penyangga baru sesuai data
signature yang didapatkan. 4. Menyalin ulang data yang terinveksi virus mulai dari pointer yang telah ditentukan. 5. Penutupan dan penghapusan file virus. Untuk lebih jelasnya akan diterangkan pada gambar 2:
Ukuran Data Virus
Data Virus
Potong File
Salin Ulang
Data Office
Hapus File
Ukuran Seluruh File
Gambar 2. Struktur global infection data office
72
Data Office Bersih
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 3 NO. 1 MARET 2011 KESIMPULAN Adapun kesimpulan yang dapat ditarik dari pembahasan ini adalah: a. Recovery dengan menggunakan metode statis jauh lebih cepat, karena pointer pembacaan file telah ditentukan berdasarkan nama virus yang dideteksi b. Recovery dengan menggunakan metode dinamis lebih lambat karena pointer pembacaan file ditentukan berdasarkan dari signature file office itu sendiri. c. Recovery dengan menggunakan metode statis, peluang data menjadi rusak pada saat recovery sangat besar, karena kemungkinan data office yang direcovery telah terinfeksi oleh virus baru. d. Recovery dengan menggunakan metode dinamis, peluang untuk kemungkinan data rusak sangat kecil, karena pembacaan berdasarkan dari ukuran data virus dan penanda awal dari signature file office itu sendiri, kecuali kalau data office tersebut sebelumnya sudah rusak. DAFTAR PUSTAKA [1] Budi Raharjo, Imam Heryanto. (2003). Pemrograman Borland C++ Builder. Informatika. Bandung. [2] Goodman, Kevin . (1993). Windows NT A Developer’s Guide. Dinastindo. Jakarta [3] Sjartuni, Ananta. (1993). Pemrograman Windows 3.X. PT.ElexMedia Komputindo. Jakarta
73
ISSN : 2086 - 4981