I'm Not Hacker Just Newbie: Tehnik Sederhana Analisa Virus
[ Search :

Tehnik Sederhana Analisa Virus

Label:


Ditulisan kali ini ane coba untuk berbagi sedikit pengetahuan tentang bagaimana menganalisa virus. Tapi sebelumnya dah tahu kan virus thu apa??kalau gak tahu hubungi dukun terdekat,hush ngaco ah..coba temen-temen semua searching ke google deh,banyak penjelasannya.


Virus entah local atau impor udah merajalela di dunia ini<dunia computer tepatnya sieh>,kadang kala kita bingung dan dibuat pusiiing tujuh keliling oleh ulah para V-Maker<sebutan untuk pembuat virus>,ada yang kehilangan data,ada yang OS nya hank,dan masih banyak lagi,dan para V-Maker di nun jauh disana pastilah hanya tersenyum dan berkata “kaciaan deh lo..wkwkw”,tapi untungnya setiap perbuatan pasti ada akibatnya,ada virus pasti ada antivirus yang bisa membasminya,tapi kadang orang awam kan hanya asal download AV trus pake tanpa tahu gimana sih para pencipta AV menemukan cara kerja virus dan cara membasminya. Temen-temen ada yang tahu??atau temen-temen bisa nih baca tulisan ane yang butut ini,tapi bila yang udah pada level expert,langsung lewatin aja deh. Ok sebelum menganalisa virus kita siapkan dulu peralatannya…
1.      Aplikasi ThinApp
2.      Virus tentunya
3.      Computer <direkomendasikan menggunakan virtual machine,biar data lebih aman gan,plus depfrezee kalau suka pake itu>
4.      Kopi biar gak ngantuk+rokok <tidak wajib>
Install lalu Jalankan ThinApp di computer anda semua,trus setelah selesai klik “ThinApp Setup Capture”,lalu lakukan scanning,sangat lebih baik bila computer kita dalam kondisi fresh atau belum terinstall aplikasi apapun,kecuali ThinApp tadi..<makanya diawal tadi ane bilang pake virtual machine+depfreeze>
Proses scan nya gak lama kok,paling banter thu 10 detik gak nyampe,lalu jalankan virus yang udah ente semua siapkan tadi <thinApp nya jangan di close lho ya..>contoh,disini ane habis download sampel virus di internet,dikasih namanya sih “aqiel” dan ane belum tahu cara kerja ni virus gimana…

Setelah dijalankan,lalau kita kembali ke ThinApp tadi,lalu klik”postscan”,nha disini nih agak lama bisanya scanning nya,soalnya dia harus meng-compare kan hasil scan sebelum virus dijalankan dan sesudah virus dijalankan..

Yup,selesai sudah scanning nya,biasanya sih 3 menit kalau dikomputer saya lho,maklum kompie butut he he he,disini akan muncul nama program yang kita jalankan tadi,pada pilihan “show entry points used for debugging” gak usah di checklist karena kita gak pengen menjalankan file virus tadi berulang-ulang


Pada bagian ini langsung kita next,next,lalu save,soalnya gak ada yang pelu ane jelasin disini,tentunya temen-temen semua dah paham isinya..he he he
  
Setelah itu kita pilih “open project”,dimana kita akan mulai menganalisa virus tadi,lalu klik cancel
 
Lalu kita buka project kita tadi..

 Biasanya Virus akan menulis di dalam registry komputer yang diserang,program Thin App akan menciptaka 3 file txt dengan nama yang sama dengan bagian di registry,yaitu curent user,local machine,user,nha mari kita cek satu persatu...
wow,di file “HKEY_CURRENT_USER.txt” sang virus telah menulis registry baru

isolation_full HKEY_CURRENT_USER\Software\Aasppapmmxkvs
  Value=A1_0
  REG_DWORD=#3a#28#96#cc
  Value=A2_0
  REG_DWORD=#8d#15#00#00
  Value=A3_0
  REG_DWORD=#29#6a#03#01
  Value=A4_0
  REG_DWORD=#00#00#00#00
  Value=A1_1
  REG_DWORD=#28#5a#4b#27
  Value=A2_1
  REG_DWORD=#cc#71#6d#69
  Value=A3_1
  REG_DWORD=#68#0e#6e#68
  Value=A4_1
  REG_DWORD=#41#64#6d#69
  Value=A1_2
  REG_DWORD=#a7#8c#6c#96
  Value=A2_2
  REG_DWORD=#0f#dd#da#d2
  Value=A3_2
  REG_DWORD=#ab#a2#d9#d3
  Value=A4_2
  REG_DWORD=#82#c8#da#d2
  Value=A1_3
  REG_DWORD=#f3#2c#01#2b
  Value=A2_3
  REG_DWORD=#4e#39#48#3c
  Value=A3_3
  REG_DWORD=#ea#46#4b#3d
  Value=A4_3
  REG_DWORD=#c3#2c#48#3c
  Value=A1_4
  REG_DWORD=#fd#c3#c4#41
  Value=A2_4
  REG_DWORD=#89#84#b5#a5
  Value=A3_4
  REG_DWORD=#2d#fb#b6#a4
  Value=A4_4
  REG_DWORD=#04#91#b5#a5
  Value=A1_5
  REG_DWORD=#8d#c9#1b#31
  Value=A2_5
  REG_DWORD=#c8#e0#22#0f
  Value=A3_5
  REG_DWORD=#6c#9f#21#0e
  Value=A4_5
  REG_DWORD=#45#f5#22#0f
  Value=A1_6
  REG_DWORD=#d0#c0#20#2c
  Value=A2_6
  REG_DWORD=#0b#4c#90#78
  Value=A3_6
  REG_DWORD=#af#33#93#79
  Value=A4_6
  REG_DWORD=#86#59#90#78

isolation_full HKEY_CURRENT_USER\Software\Aasppapmmxkvs\-993627007
  Value=1768776769
  REG_DWORD=#88#00#00#00
  Value=-757413758
  REG_DWORD=#00#00#00#00

 //......................................................//( Code Dipotong Sebagian )



trus coba kita cek juga di file “HKEY_LOCAL_MACHINE.txt” apa sih isinya..wekekek,disitu sang virus juga ada bercokol
 
isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
  Value=AntiVirusDisableNotify
  REG_DWORD=#01#00#00#00
  Value=FirewallDisableNotify
  REG_DWORD=#01#00#00#00
  Value=UpdatesDisableNotify
  REG_DWORD=#01#00#00#00
  Value=AntiVirusOverride
  REG_DWORD=#01#00#00#00
  Value=FirewallOverride
  REG_DWORD=#01#00#00#00
  Value=UacDisableNotify
  REG_DWORD=#01#00#00#00

isolation_full HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Svc
  Value=AntiVirusOverride
  REG_DWORD=#01#00#00#00
  Value=AntiVirusDisableNotify
  REG_DWORD=#01#00#00#00
  Value=FirewallDisableNotify
  REG_DWORD=#01#00#00#00
  Value=FirewallOverride
  REG_DWORD=#01#00#00#00
  Value=UpdatesDisableNotify
  REG_DWORD=#01#00#00#00
  Value=UacDisableNotify
  REG_DWORD=#01#00#00#00

isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
  Value=EnableLUA
  REG_DWORD=#00#00#00#00

isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
  Value=PendingFileRenameOperations
  REG_MULTI_SZ~\??\%Temp~0014\VMwareDnD\f6b124d7\#2300#2300#2300

isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
  Value=Epoch
  REG_DWORD=#18#00#00#00

isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  Value=EnableFirewall
  REG_DWORD=#00#00#00#00
  Value=DoNotAllowExceptions
  REG_DWORD=#00#00#00#00
  Value=DisableNotifications
  REG_DWORD=#01#00#00#00

isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  Value~%Personal%\agdx\aqiel.exe
  REG_SZ~%Personal%\agdx\aqiel.exe:*:Enabled:ipsec#2300
 
Nah,dari keterangan registry diatas  kita bisa tahu cara kerja virus tersebut,dan mampu mengatasinya secara manual,jadi gak perlu capek2 nunggu AV update terbaru,kita bahkan bisa menciptakan AV sendiri dari analisa diatas tadi,Tapi tehnik diatas kadang gak ampuh apabila sang virus mampu mendeteksi keberadaan mesin virtual,dan sang virus mendisable aplikasi ThinApp,but NOTHING IS PERFECT. Mungkin tehnik dari ane ini cukup basi buat master-master sekalian tapi ane Cuma seorang user yang mencoba berbagi ilmu yang ane miliki,bila ada yang salah dalam tutor ane diatas mohon koreksi dari para suhu sekalian.

Diposting oleh j0ck3r di 19.03  

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)