Kali ini kita akan membahas cara menganalisa virus komputer dengan Process Monitor dari sysinternal.com yang sekarang sudah menjadi bagian dari Microsoft. Tidak seperti Process Explorer yang menyediakan tampilan realtime apa yang terjadi di system dan bisa melakukan kill program, Process Monitor hanya menampilkan semacam log (catatan) apa saja yang terjadi pada PC Windows Kita. Process Monitor dapat melihat antara lain :
- Kunci registry yang berubah dari aplikasi yang akan kita monitor
- File yang dibutuhkan atau tersentuh oleh suatu aplikasi
- Tempat lokasi file dari process yang berjalan
- Tempat lokasi registry yang tehubung ke suatu aplikasi
Process Monitor akan mengcapture banyak sekali log data proses dan akan selalu bertambah tiap waktu. Karena memang cara kerjanya dan keterbatasannya tidak bisa mengcapture prosess yang berjalan dan tidak bisa memantau pengguanaan memory, Cpu, atapun tidak bisa kill program, maka Tool ini akan sangat optimal jika digunakan bersamaan dengan tools lain seperti Process Explorer, dan AutoRuns.
Process Monitor akan menangkap jenis spesifik I/O input/Output operasi, apakah itu terjadi di sistem file, registry, atau bahkan jaringan atau pun yang lain. Daftar yang bisa ditangkap antara lain:
- Registry, seperti membuat kunci, membaca, menghapus.
- File Sistem, seperti pembuatan file, penulisan, penghapusan dll.
- Jaringan, seperti lalulintas TCP/ UDP, send, receive, access, dll
- Process, menampilkan proses sistem, tidak se-detail jika menampilkannya pada Process Explorer
Contents
1. Antar muka Prosess Monitor
Ketika pertama kali berjalan Procces Monitor akan menampilkan semua nya tanpa ada filter. Dengan jumlah data yang sangat banyak. Hal ini tidak disarankan karena akan membuat aplikasi berjalan dengan berat. Akan lebih baik jika kita dari awal sudah tau aplikasi apa yang akan kita monitor prosesnya. Jadi Penggunaan Proces Monitor itu Langkah terakhir jika kita ingin deteksi program virus, yang sebelumnya kita sudah mengetaui proses aplikasi yang sedang berjalan atau kita curigai dengan program Process Explorer atau AutoRuns.
2. Melihat Kolom Default
Kolom default menunjukan banyak informasi yang berguna atau kita perlukan. Kita bisa mengapus atau menambah kolom sesai keinginan kita.
Mulai menggunakan Process Monitor
3. Mengetahui registry yang berubah
Misalnya kita ingi tau registry yang berubah dari pengaturan taskbar dan tau kunci registry nya.
Ketika kita menghilangkan “Show People on Taskbar” Registri mana yang berubah.
Biar lebih spesifik kita mulai dengan filter, Klik icon filter.
Kemudian akan tampil kotak dialog Process Monitor Filter. Karena kita ingin memotor pengaturan di taskbar windows. Kita perlu tau programnya. Karena pengaturan itu merupakan pengaturan windows maka tentu programnya adalah “Explorer.exe”. Kita filter “process name “ kemudian “Explorer.EXE”. klik Add dan kemudian klik ok
Kini data di process explorer semuanya akan menampilkan process name “explorer.exe”. namun data tetap tampil banyak sekali. Kita perlu memfiternya sekali lagi agar lebih spesifik.
Karena yang kit acari hanya registry yang berubah dari pengaturan. Maka kita filter dengan “Operation” dan “RegSetValue”. Klik Add dan OK
Maka akan tampil, tampilan yang lebih spesifik lagi yaitu dari explorer.exe hanya akan tampil operation yang memodifikasi “RegSetValue” saja. Lalu kita lakukan perubahan setingan windows dengan menghilakan centang pada “Show People on the Taskbar”.
Kemudian geser atau scroll list process monitor kebawah, karena process terbaru letaknnya di paling bawah. Fokus di kolom “path” kita cari yang ada nama “People”. Nah disitulah perubahan dilakukan oleh sistem ke registry.
Kita klik doublel saja, supaya tau detailnya. Muncul kotak dialog Event Properties. Di situ terdapat penjelasan key nya dan tipe valuenya dan isi dari valuenya. Dengan isi “0” saat kita menghilakan centang. Dan harusnya akan “1” Ketika kita mengembalikan centangnya.
Kita bisa lihat langsung ke registry dengan cara klik kanan kemudian Jump
Akan muncul langsung ke value di registry.
Kemudian kita coba mengembalikannya dengan cara klik lagi atau centang “Show People on The Taskbar”
Seperti Langkah sebelumya amati perubahan di layar.
Klik double Kembali key agar tau lebih detail. Bisa dilihat di Event Properties. Nilai dari value telah berubah Kembali.
Begitu pula Ketika kita jump langsung ke registry. Niali juga telah berubah.
Dengan kita menganalisa virus komputer dengan System Process ini kita menjadi tahu bahwa virus memang selalu bersembunyi dalam sistem kita, jadi rajinlah update database antivirus baik yang bawaan dari windows yakni Windows Defender maupun antivirus berbayar lainya.
