Decompiler Windows Malware

Case insiden malware

Malware adalah software berbahaya yang dapat terlihat seperti software-software yang umum dan sering terjadi pada OS Windows dan perangkat dengan menggunakan OS Linux. Ketika sofware berbahaya menginfeksinya banyak hal yang dapat dilakukan oleh attacker pada perangkat yang compromise, seperti:

  • Remote Desktop.
  • Upload file atau software berbahaya lainya.
  • Spyware.
  • Remote Cam.
  • Encrypt file from ransomeware.
  • Pencurian informasi atau data kredensial.
  • etc.

Bagi seorang IT Security Analyst untuk melakukan malware analyst pada temuan merupakan sesuatau hal yang wajib dan sangat penting, sebagai penunjang untuk mendapatkan suatu analisa yang detail. Kalian dapat melakukan decompiler pada software yang mencurigakan dengan beberapa tools, seperti:

Masih banyak lagi tools yang belum disebutkan, karena bergantung dengan bahasa pemrograman dan compiler yang digunakan oleh attacker untuk membuat suatu malware. Berikut bagaimana cara mengetahui informasi bahasa pemrograman dan compiler yang digunakan beserta decompiler malware, seperti:

Exeinfo PE

Tools deteksi file binary execution pada software executable di windows ini dapat melakukan deteksi semua properti yang digunakan oleh software, seperti bahasa pemrograman, compiler, convert to hex, scanner call registry, Universal Extractor, rename file dan lain-lain.

Exeinfo PE check Malware program and compiler
Exeinfo PE check Malware program and compiler

Ketika sudah menemukan informasi seperti pada gambar diatas, kalian dapat melakukan pencarian tools decompiler yang sesuai dengan software informasi dari Exeinfo PE, contoh disini kalian dapat mencari dengan keyword “decomplier .net c# tools” kalimat tersebut diambil dari informasi yang diberikan Exeinfo PE.

image searching  decomplier .net c#
image searching decomplier .net c#

JetBrains Rider

Sebagai lab saya menggunakan JetBrains Rider trial 30 hari yang berbayar, kalian dapat menggunakan VSCODE atau ILSpy jika menemukan malware dengan kondisi yang sama. Bagaimana cara melakukan decompile malware menggunakan JetBrains Rider?, kalian dapat mengikuti instruksi dibawah:

Silahkan buka JetBrains Rider > Open File > pilih file malware.exe > View in Assembly Explorer.

image decompile malware file
image decompile malware file

Selanjutnya, kalian dapat melakukan analisa pada script malware yang sudah terdecompile dan dapat melakukan perubahan pada script yang sudah kalian decompile tersebut.

result decompile  malware
result decompile malware

2 thoughts on “Decompiler Windows Malware

Leave a Reply

%d bloggers like this: