Hacker

Injeksi Executable dengan OllyDbg

kali ini kita coba menginjeksi File winmine.exe atau game dari windows yang menjinakkan ranjau ranjau itu,tau kan biasanya ada di direktori: C:\windows\system32\  dengan nama file winmine.exe

Okay sekarang kita coba menginjek eh menginject permainan tersebut, jika anda berhasil menginjeksi file winmine.exe yang aslinya aplikasi tersebut kalau di-klik 2 kali file-nya akan muncul seperti gambar berikut:

Ok langsung aja caranya:

1. Setelah mendownload Ollydbg dari situs www.ollydbg.de , extract file ollydbg tersebut, kemudian buka, maka akan muncul aplikasi seperti pada gambar di bawah ini:

2. Setelah itu klik di aplikasi ollydbg tersebut menu File -> Open , cari file winmine.exe yang ingin diinjeksi

3. Nah .. setelah terbuka…maka ollydbg akan menampilkan dalaman, atau sourcecode winmine.exe dalam bahasa assembler tentunya seperti gambar berikut:

4. Langkah selanjutnya adalah mencari CAVE apa itu cave??? Umh.... di tiap aplikasi yang dibuat, pasti ada ruang kosong yang entah sengaja disediakan atau memang tidak sengaja ada. CAVE adalah ruang kosong yang mempunyai kode ‘DB 00’ atau berarti kosong, nah dari ruang kosong inilah kita akan mencoba menginjeksi tanpa harus membuat aplikasi tersebut rusak, sehingga ketika aplikasi asli dijalankan, script virus kita dapat berjalan juga …, cave ini letaknya tidak tentu, bias diawal, di tengah atau di akhir baris program, tapi biasanya ada di akhir program, coba sekarang kita geser aplikasi tersebut ke baris paling bawah, maka ada ruang cave-nya seperti pada gambar berikut:

5. Setelah ketemu cave-nya, letakkan kursor km di bawah skrip ’ DB 00’ atau setelah cave pertama, seperti pada gambar, kemudian tekan tombol keyboard ke bawah sebanyak 20 kali, fungsiny disini untuk memesan alamat sebanyak 20 ruang (yang dipesan akan ditandai dengan blok atau shading berwarna abu abu):

6. Setelah itu tekan CTRL + E, maka akan muncul kotak sbb:

7. Isi kotak tersebut dengan kaliamat atau apa gitu, teserah km aja, kalau saya sih lebih suka kalimat TES AJA GITUH, setelah itu klik OK, maka akan terlihat di sana skrip yang diedit akan berwarna merah. Jangan panik, biarkan saja, kemudian tekan CTRL + A agar ollydbg bisa menganalisis skrip tersebut, jika benar, maka di badan program akan ditampilkan tulisan yang km tulis tadi.

setelah di CTRL+A

8. Setelah itu arahkan kursor dibawah skrip yang diedit tadi, dan klik 2 kali, maka akan muncul kotak sbb:

9. Lalu ketik ‘PUSH 0’ (tanpa tanda petik, kemudian klik tombol Assemble

10. Lakukan seperti langkah di atas, Cuma bedanya kalimat yang diketik berbeda, yaitu:

PUSH ADDRESS

PUSH ADDRESS

PUSH 0

Call user32.MessageBoxA

CATATAN:Pada skrip PUSH ADDRESS tadi, kata ADDRESS-nya diganti alamat yang lo tulis kalimat pertama tadi, alamatnya dilihat di sebelah kiri, seperti yang ditunjukkan pada gambar:

11. Jika sudah tertulis semua seperti pada gambar di bawah ini:

tekan tombol bintang atau * pada keyboard, maka ollydbg akan menunjukkan alamat origin atau alamat pertama kali program ini akan dijalankan ketika dibuka, ditunjukkan pada blok atau shading berwarna abu - abu :

Bisa dilihat alamat origin berada pada 01003E21 dengan script PUSH 70

12. Klik 2 kali pada alamat tersebut, kemudian ganti dengan script:

JMP ADDRESSPERTAMA

Dimana ADDRESSPERTAMA adalah alamat script PUSH 0 pertama terletak, yaitu pada alamat 01004A64 , sehingga lo harus menuliskannya dengan:

JMP 01004A64

13. Selanjutnya perhatikan baris yang telah kita ubah (berwarna merah), dibawahnya ada script:

01003E26 90 NOP

Hapalkan atau catat di notepad alamat 01003E26, kemudian arahkan kursor ke baris akhir kode injeksi, yaitu terletak pada bawahnya script CALL user32.MessageBoxA

14. Klik 2 Kali pada alamat tersebut, kemudian tulis script:

JMP ADDRESSKEDUA

Dimana ADDRESSKEDUA adalah alamat yang lo hapalkan atau lo catat di notepad tadi, yaitu 01003E26, sehingga lo harus menuliskannya sbb:

JMP 01003E26

15. Selesai sudah injeksi kode dengan manual, klik kanan mouse lo, kemudian pilih Copy to executable -> All modifications , kemudian klik copy all, maka akan muncul kotak baru, kemudian klik kanan dan klik Save File, dan simpan dengan nama lain, misalnya winmineinjek.exe

16. Jalankan file winmineinjek.exe, apa yang terjadi..? anda berhasil menginjeksi game winmine mengubahnya menjadi tampilan message box atau kotak pesan, nah itu baru menginjeksi dengan skrip kotak pesan atau message box, gimana kalau menginjeksinya dengan mengaktifkan program?..

silahkan di coba sendiri..

Hardware

Mengatasi Speaker yang bermasalah

Mungkin speaker komputer anda tidak sebesar pada gambar diatas =) tapi pernahkan anda mengalami speaker yang tiba-tiba tidak berfungsi atau setelah instal ulang windows atau setelah bongkar pasang CPU ,speaker menjadi bisu mendadak?

sebelum anda melempar speaker anda ke tempat sampah [karena dianggap rusak],ada baiknya kita melakukan cek dan ricek terlebih dahulu. mari kita telusuri dan pelajari apa saja yang membuat speaker rusak dan cara mengatasinya

Pertama:

Jika setelah bongkar pasang CPU,speaker anda tidak bisa mengeluarkan suara,tapi jika dilihat volume sudah di set 100 persen,bass,treble sudah OK tapi tetap windows tidak bisa bersuara?solusinya:

lihat konektor speaker yang terhubung ke komputer,biasanya pada CPU terdapat beberapa konektor yang agak mirip [atau memang mirip] sehingga anda salah menghubungkannya,jika dilihat pada CPU,terdapat tulisan seperti speaker,line out dan sebagainya,ya hubungkan di situ atau buka buku manual hardware anda untuk memastikannya

Kedua:
Setelah instal ulang OS [sistem operasi],speaker anda tidak mengeluarkan suara,sehingga saat anda memainkan lagu linkin park atau menyetel video Oppa Gangnam Style tidak keluar suara sepatah katapun =)
padahal volume sudah 100% [tidak dalam posisi mute] dan konektor terhubung dengan benar,solusinya:

cek driver yang anda gunakan,apakah sudah di instal apa salah tipe driver,sesuaikan..untuk melakukan cek,silahkan buka dxdiag dengan cara winkey + R,ketik dxdiag kemudian enter

Ketiga:

Konektor sudah benar,driver sudah benar,volume sudah ON,kemarin masih menyala tapi kok hari ini sepaker saya tidak bisa menyala?

solusinya:

cek software yang anda gunakan,apakah volume di softwarenya dalam keadaan 0 persen atau mute?

cek tombol power pada speaker,apa sudah menyala atau di tekan ON?

cek konektor,apakah kencang atau tidak?

cek kabel power speaker,apa sudah terpasang atau belum =)

sekian ^_^

semoga bermanfaat

Hardware

Membaca DVD melalui CD-ROM

trik berikut berguna untuk memodifikasi CD-ROM agar bisa membaca atau menjalankan DVD,

ayo kita mulai :

Ada dua jenis CD-ROM drive kita dapat modifikasi:

40x 24x

40x atau lebih tinggi

CD-ROM yang lebih lambat dari 24x tidak bisa dimodifikasi

Kepala Laser Penyesuaian:

Track pitch default CD adalah 1,6 mikron, dan pitch melacak DVD hanya 0,8 mikron. Panjang minimum lubang melacak CD adalah 0.843mm, dan panjang minimum dari lubang melacak DVD 0.293mm. Itu sebabnya DVD disc dapat menyimpan lebih banyak data dalam ukuran CD.

berada pada situasi ini, kita perlu menyesuaikan kepala laser sehingga dapat membaca disk dengan melacak pitchs kecil dan lubang trek pendek. Buka drive CD-ROM, apakah Anda melihat sebuah lensa pada rel? Itulah kepala laser. Di sisi laser kepala, ada sekrup yang Anda dapat sesuaikan.

   ini adalah kunci sekrup modifikasi,penyetelan ini dapat menyesuaikan ukuran sinar laser yang berada di disk. setelah disesuaikan, sinar laser harus kurang dari 0.293mm, untuk memenuhi kebutuhan DVD disc. Maka aturlah sekrup 2-3 kali.hal ini perlu latihan berkali-kali untuk memastikan hasilnya. Tandai dengan pensil, jika anda melupakan berapa kali Anda mengatur sekrup.

Kecepatan penyesuaian:

DVD-ROM drive dapat memutar film DVD mulus pada kecepatan 4x. Kalau kita Modifikasi sebuah 32x CD-ROM, kecepatan rotasi jelas terlalu tinggi, meningkatkan panas, dan memperpendek usia dari cd-rom drive tersebut.

  Jadi kita perlu menurunkan kecepatannya,Kebanyakan orang tahu bahwa pasokan listrik dapat menyediakan 5V (kawat merah) dan 12V (kawat kuning) keluaran listrik untuk Molex konektor. Temukan Molex Konektor Anda akan pasang ke dalam drive CD-ROM modifikasi, potong kabel kuning atau melindungi dengan pita, jadi hanya 5V dari listrik ditransfer ke CD-ROM drive. Kecepatan drive sekarang 32 * 5 / 17 = 9.41x dan sekarang dapat memenuhi persyaratan DVD.

40x atau lebih tinggi CD-ROM

kebanyakan pabrikan sudah memproduksi DVD-ROM drive. Untuk menurunkan biaya, mereka menggunakan inti yang sama sebagai DVD-ROM drive dengan fungsi DVD dinonaktifkan. Apa yang perlu kita lakukan di sini adalah untuk mengaktifkan kembali fungsi DVD.

Buka CD-ROM, di belakang papan sirkuit, mencari jumper yang mengatakan DVD JUMP. Cari jumper untuk menghubungkan pelompat ini. Kawat logam tipis juga bekerja dengan baik.

OK, jadi DVD fungsi terkunci, tetapi kita masih perlu untuk mengurangi kecepatan. Gunakan petunjuk di atas tentang cara mengurangi kecepatan cd-rom drive.

Catatan:

Modifikasi cd-rom drive tidak dapat terdeteksi di POST, itu berarti Anda tidak dapat menggunakannya di DOS. Tapi begitu Anda masuk ke Windows, cd-rom drive bekerja dengan baik.

Modifikasi drive TIDAK MUNGKIN membaca Blu-Ray :p.

semoga jadi masukkan yang berguna ya?

^-^

Virus

Analisa Trojan OptixPro

Siapa yang tidak kenal Trojan OptixPro? anda tidak kenal? waduh coba search di google terlebih dahulu =)

hehe.. Trojan OptixPro adalah Trojan lama [jadul] tapi berkemampuan cukup menarik untuk belajar cara kerja sebuah Trojan atau membuat Trojan,OptixPro terdiri dari 2 bagian yaitu Builder untuk membuat server Trojan dan Clientnya.

catatan: saya tidak menjelaskan bagaimana cara membuat Trojan dengan Optixpro Builder atau fungsi-fungsi yang terdapat pada Trojan hasil buildernya,karena banyak artikel diluar sana yang "kembar" tentang cara membuatnya.

Ciri yang paling terlihat dari OptixPro adalah pemakaian Iconnya dan mengcopy dirinya sendiri ke System32 beserta pesan fake yang terkadang muncul seolah program yang dijalankan rusak atau corrupt.Setelah di eksekusi,

OptixPro akan memulai aksinya dengan:

Mencopy dirinya ke folder System32

Memodifikasi Registry

machine\software\microsoft\RAS Autodial\Control\LoginSessionDisable = 01000000

machine\software\microsoft\RAS Autodial\Control\DisableConnectionQuery = 01000000

machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001

machine\software\microsoft\Windows\CurrentVersion\Run\GLSetIT32 = C:\windows\system32\namafile.EXE

user\current\software\Microsoft\RAS Autodial\Control\LoginSessionDisable = 01000000

user\current\software\Microsoft\RAS Autodial\Control\DisableConnectionQuery = 01000000

Memonitoring layar Monitor

Mendapatkan Nama Computer 

Melumpuhkan service-service antivirus dan firewall

\ViRobotXP\vrmonsvc.exe

 alerter

 AntiVir Update

 AntiVirService

 aswUpdSv

 avast! Antivirus

 AvgServ

 AVKService

 AVKWCtl

 AVSync Manager

 AvSynMgr

 AVWUpSrv

 bdss

 BlackICE

 ccEvtMgr

 ccPwdSvc

 ccPxySvc

 ConfigInterpreter

 DeerfieldFirewall

 eScan-trayicos

 eTrust VPV

 FireballDTA_srv

 FSAA

 F-Secure Network Request Broker

 FSMA

 Guard NT

 GuardDogEXE

 InoRPC

 InoRT

 InoTask

 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)

 InVircible Scheduler

 KAVMonitorService

 kavsvc

 McAfee Firewall

 McShield

 mcupdmgr.exe

 MCVSRte

 minilog

 MpfService

 NAV Auto-Protect

 NAVAP

 navapsvc

 NAVENG

 NAVEX15

 NBFIREWALL

 NISSERV

 NISUM

 NOD32ControlCenter

 NOD32Service

 Norman NJeeves

 Norman ZANDA

 Norton AntiVirus Auto Protect Service

 NProtectService

 nvcoas

 NVCScheduler

 NVSVC32

 OutpostFirewall

 PAVSRV

 PccPfw

 PER Antivirus OnAccess Scanner

 PersFw

 protector plus service

 protector plus service (UnRegisted)

 QhInstaller

 Quick Heal Online Protection

 SBService

 SharedAcces

 SharedAccess

 SmcService

 SOSSRV

 SpIDer Guard for Windows NT

 SVW3

 SweepNet

 SWEEPSRV.SYS

 SymProxySvc.exe

 TGB::BOB! Starter

 TGBBOB

 Tmnsrv

 Tmntsrv

 tmproxy

 TrueVector Internet Monitor

 UmxAgent

 vexeria update

 vexira antivirus

 ViRobot Expert Monitoring

 VisNetic Antivirus Plug-in

 vsmon

 VSSERV

 WinRoute

 WinRoute Pro 4.2

 XCOMM

Melakukan Listening pada port

Membuat Startup pada registry 

"Software\Microsoft\Windows\CurrentVersion\Run"

Antivirus

Menggabungkan Clamav dengan AntiVirus Kita

Clamav adalah sebuah AntiVirus open source yang cukup ampuh dalam mendeteksi malware (Virus,Worm dan teman-temannya)dan dengan jumlah database malware yang dimiliki Clamav sangat besar,kira-kira satu juta dua ratus ribu (WOW).

Banyak AntiVirus lokal (AntiVirus Indonesia) yang ingin menggabungkan AntiVirusnya dengan Clamav namun banyak juga yang memikirkan lisensi Clamav yang bersifat open-source tersebut.Tidak masalah jika AntiVirus yang ingin digabungkan dengan Clamav tersebut ingin open source,tapi bagaimana jika tidak mau ikut-ikutan open source?

Dalam dokumentasi Clamav (clamdoc.pdf) tertulis bahwa: "Segala program yang menggunakan library Clamav haruslah bersifat open source" namun jika kita memakai trik dibawah ini,mudah-mudahan AntiVirus kita tidak harus terlibat lisensi open source tersebut :)

 untuk project ini,kita harus mempersiapkan:

1. file pendukung clamav seperti clamscan.exe,libclamav.dll,database clamav seperti main.cvd dan sebagainya

2. sebelumnya,kita harus tahu parameter clamscan.exe,tapi apa itu clamscan.exe?? clamscan.exe adalah scanner clamav yang mempunyai parameter-parameter yang bisa kita gunakan pada AntiVirus kita dalam mendeteksi malware,parameter-parameter tersebut adalah:

   --help                -h             Print this help screen

    --version             -V             Print version number

    --verbose             -v             Be verbose

    --debug                              Enable libclamav's debug messages

    --quiet                              Only output error messages

    --stdout                             Write to stdout instead of stderr

    --no-summary                         Disable summary at end of scanning

    --infected            -i             Only print infected files

    --bell                               Sound bell on virus detection

    --show-progress                      Print progress indicator for each file

    --tempdir=DIRECTORY                  Create temporary files in DIRECTORY

    --leave-temps                        Do not remove temporary files

    --database=FILE/DIR   -d FILE/DIR    Load virus database from FILE or load

                                         all .cvd and .db[2] files from DIR

    --log=FILE            -l FILE        Save scan report to FILE

    --recursive           -r             Scan subdirectories recursively

    --remove                             Remove infected files. Be careful!

    --move=DIRECTORY                     Move infected files into DIRECTORY

    --copy=DIRECTORY                     Copy infected files into DIRECTORY

    --exclude=PATT                       Don't scan file names containing PATT

    --exclude-dir=PATT                   Don't scan directories containing PATT

    --include=PATT                       Only scan file names containing PATT

    --include-dir=PATT                   Only scan directories containing PATT

    --detect-pua                         Detect Possibly Unwanted Applications

    --exclude-pua=CAT                    Skip PUA sigs of category CAT

    --include-pua=CAT                    Load PUA sigs of category CAT

    --detect-structured                  Detect structured data (SSN, Credit Card)

    --structured-ssn-format=X            SSN format (0=normal,1=stripped,2=both)

    --structured-ssn-count=N             Min SSN count to generate a detect

    --structured-cc-count=N              Min CC count to generate a detect

    --no-mail                            Disable mail file support

    --keep-mbox                          Don't delete/rename mailboxes

    --memory                             Scan loaded executable modules

    --kill                -k             Kill/Unload infected loaded modules

    --unload              -u             Unload infected modules from processes

    --no-phishing-sigs                   Disable signature-based phishing detection

    --no-phishing-scan-urls              Disable url-based phishing detection

    --heuristic-scan-precedence          Stop scanning as soon as a heuristic match is found

    --phishing-ssl                       Always block SSL mismatches in URLs (phishing module)

    --phishing-cloak                     Always block cloaked URLs (phishing module)

    --no-algorithmic                     Disable algorithmic detection

    --no-pe                              Disable PE analysis

    --no-elf                             Disable ELF support

    --no-ole2                            Disable OLE2 support

    --no-pdf                             Disable PDF support

    --no-html                            Disable HTML support

    --no-archive                         Disable archive support

    --detect-broken                      Try to detect broken executable files

    --block-encrypted                    Block encrypted archives

    --mail-follow-urls                   Download and scan URLs

    --max-filesize=#n                    Files larger than this will be skipped and assumed clean

    --max-scansize=#n                    The maximum amount of data to scan for each container file (*)

    --max-files=#n                       The maximum number of files to scan for each container file (*)

    --max-recursion=#n                   Maximum archive recursion level for container file (*)

    --max-dir-recursion=#n               Maximum directory recursion level

 pada project AntiVirus kita,kita hanya perlu menggunakan parameter-parameter tersebut supaya AntiVirus kita dapat bergabung dan bekerja sama dengan Clamav.contohnya dalam bahasa C adalah:

/*membuat variabel konstanta untuk menampung parameter clamscan parameter tersebut berarti : -r kita melakukan scan secara recursive (scan folder dan sub foldernya, -i menampilakn file yang diduga terinfeksi,dan --log membuat log laporan hasil scan clamav pada drive C dengan nama clamreport.txt */

const char parameters[] = "-r -i --log=C:\\clamreport.txt";

 pada engine Scan AntiVirus anda tambahkan fungsi ShellExecute berikut ini:

ShellExecute(NULL,"open","C:\\Program Files\\ByteCode AntiVirus 1.0.4\\Clamav\\clamscan.exe", (parameters), (ScanPath), SW_SHOWNORMAL);

arti perintah shell execute diatas adalah melakukan eksekusi clamscan.exe yang berada di direktori kemudian mengatur parameternya dan menentukan lokasi folder yang akan discan (scanpath)

Jadi ketika AntiVirus yang kita buat melakukan scan pada folder misalkan C:\WINDOWS,maka secara otomatis

ClamAV akan ikut melakukan scanning di folder C:\WINDOWS tersebut..

 ini hasilnya pada AntiVirus saya:

 semoga membantu anda ^^

salam

Virus Analyst

Tools Analisa Malware

Berikut ini saya berbagi tools lengkap dalam melakukan analisis malware.tools memang memudahkan kita dalam melakukan analisa malware,tapi ada baiknya sambil dipelajari lebih dalam lagi dan anda akan mengetahui seberapa "indahnya" malware itu dan mungkin sampai tahap pembuatan removalnya [bahkan sampai membuat tools untuk analisa sendiri yang tentunya bermanfaat bagi orang lain] =)

Untuk Virtualisasi

VmWare - http://www.vmware.com/

VirtualBox - https://www.virtualbox.org/

SandBoxie - http://www.sandboxie.com/

Untuk melakukan Debug

OllyDbg - http://www.ollydbg.de/

Immunity Debugger - http://immunityinc.com/products-immdbg.shtml

Windbg - http://msdn.microsoft.com/en-us/windows/hardware/gg463009

Pydbg - http://code.google.com/p/paimei/

Untuk Assembly

MASM - http://www.masm32.com/

NASM - http://www.nasm.us/

WinAsm (IDE) - http://www.winasm.net/

Untuk Disassembler

IDA (5.0) - http://www.hex-rays.com/products/ida/support/download.shtml

IDAPython - http://code.google.com/p/idapython/

Untuk Analisa PE [portable Executable]

PEView - http://www.magma.ca/~wjr/

PEBrowse - http://www.smidgeonsoft.prohosting.com/pebrowse-pro-file-viewer.html

LordPE - http://www.woodmann.com/collaborative/tools/index.php/LordPE

ImpRec - http://www.woodmann.com/collaborative/tools/index.php/ImpREC

PEid - http://www.peid.info/

Analisa Process:

ProcMon - http://technet.microsoft.com/en-us/sysinternals/bb896645

Process Explorer - http://technet.microsoft.com/en-us/sysinternals/bb896653

Jaringan

WireShark - http://www.wireshark.org/

TcpView - http://technet.microsoft.com/en-us/sysinternals/bb897437

Monitoring file dan registry

Regshot: http://sourceforge.net/projects/regshot/

Capturebat - http://www.honeynet.org/node/315

InstallWatchPro. - http://www.brothersoft.com/downloads/installwatch-pro-2.5c.html

FileMon - http://technet.microsoft.com/en-us/sysinternals/bb896642

Lainnya

CFFexplorer - http://www.ntcore.com/exsuite.php

Notepad++ - http://notepad-plus-plus.org/

Dependency walker - http://www.dependencywalker.com/

Sysinternal Tools - http://technet.microsoft.com/en-us/sysinternals/bb842062

Dev C++ - http://www.bloodshed.net/devcpp.html

Microsoft Visual C++ - http://www.microsoft.com/visualstudio/en-us/products/2010-editions/visual-cpp-express

VirusTotal - http://www.virustotal.com/

Artikel ini dibuat oleh Abdurrahman,segala macam bentuk pengcopyan atau menyalin sebagian atau seluruh halaman ini,dapat dikenakan sanksi dan melanggar Hak Cipta Abdurrahman sebagai Blogger