Pada suatu hari di sebuah hotel yang megah dan mewah. Di hotel tersebut
sedang banyak kedatangan tamu dari berbagai negara, terlihat jelas para
pelayan hotel sibuk melayani para tamu.
Ketika semua pelayan hotel sedang pada sibuk ternyata ada salah satu pelayan hotel yang sedang bingung mengamati sebuah barang yang ia temukan dari gudang bawah, barang itu terlihat aneh dan janggal, setelah lama berpikir ia langsung mengasumsikan kalau yang sedang dia lihat itu adalah bom rakitan yang lebih tampak seperti C4 daripada TNT, bom rakitan itu disetel menggunakan timer, dan tepat saat itu timer sudah menunjukkan waktu kurang 1 menit lagi bom akan meledak, sang pelayanpun kebingungan, dia berpikir sambil berbicara dalam hati “Celaka!, waktu kurang satu menit lagi, tidak mungkin aku menghubungi polisi dengan telepon yang berada di lantai 2, sedangkan untuk ke lantai 2 saja membutuhkan waktu 2 menit, itupun sudah dengan lari, mana aku nggak punya handphone lagi!â€, akhirnya karena saking bingungnya pelayan itupun nekat mengambil bom itu dan bermaksud untuk membuangnya keluar, tetapi naas bom itu meledak tepat di tangannya, dan seperti diketahui bom model C4 memiliki daya ledak kurang lebih radius 4 km, secara otomatis hotel megah dan mewah itupun rata dengan tanah bersama 300 nyawa melayang.
Andaikan saja si pelayan mengetahui cara menjinakkan bom, maka tragedi seperti itu tidak akan pernah terjadi. Selang 2 hari setelah kejadian itu ada seorang pelayan restoran bertanya kepada temannya yang kebetulan bekerja sebagai tim penjinak bom dari metro jaya, ia bertanya “bagaimana caranya agar saya bisa menjinakkan bom?, supaya suatu saat kejadian seperti di hotel kemarin bisa dihindari?â€, temannyapun menjawab “kamu harus tahu dulu cara membuat dan merakit bom, juga tehnik-tehniknya, maka kamu akan bisa menjinakkannyaâ€.
Mengambil hikmah dari cerita diatas ternyata tidak jauh berbeda dengan tujuan pembuatan artikel ini, jadi mana mungkin seseorang bisa menjinakkan virus komputer kalau dia sendiri tidak tahu cara dan tehnik-tehniknya membuat virus komputer, tujuan penulisan artikel ini tidak untuk memprovokasi agar berlomba-lomba membuat virus, tapi sebaliknya saya berharap agar mereka yang belum tahu menjadi bisa, sehingga secara otomatis bisa menanggulanginya sendiri dan tidak menjadi korban orang-orang yang tidak bertanggung jawab, sehingga kita bisa berjalan tanpa ketergantungan dengan produk-produk luar negri (Antivirus), karena sesungguhnya virus komputer bukanlah hal yang menakutkan seperti dugaan kebanyakan orang, karena sebenarnya virus komputer merupakan permainan tipuan anak-anak belaka yang sebenarnya kamu pun bisa membuatnya!.
dah ah intronya, karena ini bukanlah novel tapi artikel, kita mulai aja tehnik selanjutnya.
2. Encrypt
Pernah dengar yang namanya virus redlof?, “redlof†merupakan aksara terbalik dari “folder†(beberapa Antivirus menamai ini karena virus redlof akan membuat file yang bernama “folder.htt†disetiap sub direktori), apakah pernah membuka tubuh virus ini make notepad?, kalau pernah lihatlah tulisan yang jelek dan aneh dalam tubuhnya, karena virus redlof ini merupakan virus yang dibuat menggunakan visual basic script (vbs), maka kodenya bisa dilihat dengan mata telanjang. tujuan dari enkripsi pada virus itu sendiri bisa untuk menyembunyikan kode-kode jahatnya, menyembunyikan variabel-variabel konstantanya dan yang jelas untuk mengecoh deteksi Antivirus.
Redlof adalah salah satu virus yang menerapkan sistem enkripsi pada tubuhnya, lihatlah dibagian bawah tubuhnya di situ ada rutin deskripsinya yang akan menterjemahkan tulisan yang aneh dan jelek menjadi kode dan perintah-perintah virus!â€.
Algoritma enkripsi yang akan dibahas disini aku pilih yang mudah-mudah aja, sebenarnya bisa kalo mau pake alghoritma SHA, GHOST, BLOWFISH atau enkripsi standard sistem pertahanan AS, tapi aku yakin akan banyak newbie yang sakit kepala. :)
dan alghoritma tersebut sangatlah tidak wajar untuk diaplikasikan pada virus.
a. Chesar Cipper
Adapun tehnik-tehnik enkripsi sangatlah bermacam-macam, seperti enkripsi chesar chipper, enkripsi ini merupakan alghoritma yang paling sederhana, yaitu dengan cara menambah atau mengurangi karakter dalam format ascii, sehingga apabila huruf “A†di enkripsi dengan chesar hipper hashkey = 1 maka akan dihasilkan huruf “Bâ€.
huruf “A†memiliki nilai ascii 65 dienkripsi: 65+1=66, 66 adalah kode ascii dari huruf “Bâ€, jadi kalau ingin mendekripsi tinggal kurangai 1 aja maka akan kembali didapatkan huruf “Aâ€. jadi string “HackerGaul†kalau dienkripsi akan jadi “IbdlfsHbvmâ€, kacau bukan?. cara ini pernah diaplikasi oleh virus brontok varian awal.
cara ini sangat mudah, kodingnya bisa begini:
lea edi,szHackerGaul
xor ecx,ecx
@loop: ;awal pengulangan
add byte ptr [edi+ecx],1 ; tambah ascii kode dari szHackerGaul
inc ecx ; tambah counter (karakter selanjutnya)
cmp byte ptr [edi+ecx],0 ; karakter udah habis?
jne @loop ; jika belum kembali ke loop
b. Enkripsi Alghoritma XOR dan NOT
Enkripsi ini juga hampir sama sederhananya dengan yang pertama, bedanya cuman huruf yang akan dienkripsi tidak lagi ditambahkan tetapi di acak dengan logika XOR
lea esi,szHashKey
lea edi,szHackerGaul
xor ecx,ecx
xor ebx,ebx
@loop: ;awal pengulangan
mov al,byte ptr [edi+ecx] ; al=mid(szHackerGaul,ecx,1)
cmp byte ptr [esi+ecx],0
jne @lewat
xor ebx,ebx
@lewat:
xor al,byte ptr [esi+ebx] ; xor-kan dengan hashkey di esi
inc ebx ; hashkey
inc ecx ; tambah counter (karakter selanjutnya)
cmp byte ptr [edi+ecx],0 ; karakter udah habis?
jne @loop ; jika belum kembali ke loop
Hasil enkripsi dengan logika XOR terlihat lebih kacau dari chesar cipper.
enkripsi dengan NOT :
lea edi,szHackerGaul
@loop:
mov al,byte ptr [edi]
not al
mov byte ptr [edi],al
inc edi
cmp byte ptr [edi],0
jne @loop
3. Stealth
Stealth adalah tehnik untuk menyembunyikan diri dari radar Antivirus. Virus yang memiliki kemampuan stealth bisa menghilang dari proses, dan mengakibatkan program seperti taskmanager tidak mampu manampilkan adanya virus yang sedang resident di memori.
Pada wind**s 98 bisa dengan mudah menggunakan perintah API, tapi hal ini tidak berlaku untuk wind**s 2000 keatas, pada wind**s 200 keatas bisa diakalin dengan menyamarkan diri sebagai driver wind**s, sehingga taskmanager tidak mampu mendeteksinya, tapi cara ini pernah saya coba di wind**s XP sp2 dan gagal, mungkin Microsoft sudah memperbaikinya, nggak kehabisan akal akhirnya aku coba pakai tehnik kernel patching, dan berhasil. Apa itu kernel patching?, kernel patching adalah metode dimana kita akan menginjeksi kode virus ketubuh kernel milik wind**s (Dll Injection), alhasil taskmanager, ProcessExplorer (sysinternals), dan processmanager pun tidak mampu mendeteksinya. Pernah dengar backdoor rootkits?, backdoor jenis ini menggunakan metode kernel patching untuk menyembunyikan diri sehingga pernah membuat tim research security wind**s kelabakan, karena rootkits tidak bisa dideteksi dengan process manager biasa seperti task manager, ProcesssExplorer, IknownProcess, dan process manager lainnya, akhirnya sysinternals-pun membuat program khusus untuk mendeteksi backdoor rootkits yang diberinama RootkitsRevealer!. Pernahkah komputer Anda mengalami gejala-gejala seperti berikut:
1. Program firewall mengingatkan adanya program yang listen kesalah satu port.
2. Tapi tidak ada tanda-tanda proses yang melakukan hal itu.
3. Trafik bandwith berjalan sendiri.
Jika jawabannya ya, berarti komputer kamu sudah terjangkit backdoor rootkits, waspadalah!!.
Berikut adalah kutipan dari artikelnya Tan Chew Keong :
“Win32 Kernel Rootkits hide running processes from users using techniques like Kernel Native API Hooking, or by directly unlinking the process's EPROCESS entry from ActiveProcessLinks. Such techniques are very effective in hiding processes, and are very difficult to detect with user-mode tools.â€
Karena cara ini sangatlah rumit untuk dijelaskan disini, jadi bagi siapa yang mau contoh source codenya bisa minta lewat imel.
4. AntiDebug
AntiDebug adalah tehnik untuk menghindari Reverse Engineering, apa itu Reverse Engineering?, Reverse Engineering adalah cara untuk mengetahui kode atau intruksi yang sedang dijalankan oleh suatu aplikasi, lebih mudahnya untuk mendapatkan source code tanpa ijin dari si pembuat applikasi, biasanya cara ini digunakan untuk cracking software atau untuk membuat keygenerator :).
Reverse Engineering biasanya dilakukan oleh para analisator sistem seperti tim Microsoft crash service untuk mengetahui letak kesalahan (bug) pada suatu sistem, sehingga muncullah patch terbaru seperti hotfix dan sebagainya.
Untuk apa AntiDebug diaplikasi pada virus?, pernahkah kamu mendengar ada maling yang mendaftarkan diri kekantor polisi untuk ditangkap?, tidak akan pernah atau mungkin 1 juta 1 di dunia. Begitu juga dengan pembuat virus, ia tak mau jejaknya ketahuan, atau sekedar untuk menyembunyikan diri, maka diaplikasikanlah AntiDebug untuk menghindari reverse engineering.
adapun kodingnya bisa begini:
cli
not esp
not esp
sti
Tuliskan code diatas pada awal section .code, sangat mudah bukan?, dengan begitu satu tracing saja terjadi maka program akan crash!, sehingga para analisator tidak sempat melakukan reverse engineering. tapi ingat kamu juga harus membuat section .code bisa ditulis (writeble), atau kode tersebut akan sia-sia, caranya?, setelah kamu kompilasi, tambahkan / ketikkan:
“editbin /section:code,w virus.exe†pada file make.bat atau build.bat. :)
Last Word
Untuk yang nggak suka dengan tulisan artikel ini, mohon ma’af yang sebesar-besarnya, karena tulisan ini hanya untuk tujuan pendidikan saja, dan tidak ada maksud dan unsur kejahatan di dalamnya. Jadikan semua ini sebagai ilmu untuk melindungi diri kita dari kejahatan-kejahatan yang mungkin akan lebih mengerikan lagi di waktu mendatang.
Karena keterbatasan pengetahuan saya dibidang IT, jadi mohon dima’lumi apabila terdapat pemahaman yang salah, ketidak pahaman saya atau karena kobodohan saya.
Ketika semua pelayan hotel sedang pada sibuk ternyata ada salah satu pelayan hotel yang sedang bingung mengamati sebuah barang yang ia temukan dari gudang bawah, barang itu terlihat aneh dan janggal, setelah lama berpikir ia langsung mengasumsikan kalau yang sedang dia lihat itu adalah bom rakitan yang lebih tampak seperti C4 daripada TNT, bom rakitan itu disetel menggunakan timer, dan tepat saat itu timer sudah menunjukkan waktu kurang 1 menit lagi bom akan meledak, sang pelayanpun kebingungan, dia berpikir sambil berbicara dalam hati “Celaka!, waktu kurang satu menit lagi, tidak mungkin aku menghubungi polisi dengan telepon yang berada di lantai 2, sedangkan untuk ke lantai 2 saja membutuhkan waktu 2 menit, itupun sudah dengan lari, mana aku nggak punya handphone lagi!â€, akhirnya karena saking bingungnya pelayan itupun nekat mengambil bom itu dan bermaksud untuk membuangnya keluar, tetapi naas bom itu meledak tepat di tangannya, dan seperti diketahui bom model C4 memiliki daya ledak kurang lebih radius 4 km, secara otomatis hotel megah dan mewah itupun rata dengan tanah bersama 300 nyawa melayang.
Andaikan saja si pelayan mengetahui cara menjinakkan bom, maka tragedi seperti itu tidak akan pernah terjadi. Selang 2 hari setelah kejadian itu ada seorang pelayan restoran bertanya kepada temannya yang kebetulan bekerja sebagai tim penjinak bom dari metro jaya, ia bertanya “bagaimana caranya agar saya bisa menjinakkan bom?, supaya suatu saat kejadian seperti di hotel kemarin bisa dihindari?â€, temannyapun menjawab “kamu harus tahu dulu cara membuat dan merakit bom, juga tehnik-tehniknya, maka kamu akan bisa menjinakkannyaâ€.
Mengambil hikmah dari cerita diatas ternyata tidak jauh berbeda dengan tujuan pembuatan artikel ini, jadi mana mungkin seseorang bisa menjinakkan virus komputer kalau dia sendiri tidak tahu cara dan tehnik-tehniknya membuat virus komputer, tujuan penulisan artikel ini tidak untuk memprovokasi agar berlomba-lomba membuat virus, tapi sebaliknya saya berharap agar mereka yang belum tahu menjadi bisa, sehingga secara otomatis bisa menanggulanginya sendiri dan tidak menjadi korban orang-orang yang tidak bertanggung jawab, sehingga kita bisa berjalan tanpa ketergantungan dengan produk-produk luar negri (Antivirus), karena sesungguhnya virus komputer bukanlah hal yang menakutkan seperti dugaan kebanyakan orang, karena sebenarnya virus komputer merupakan permainan tipuan anak-anak belaka yang sebenarnya kamu pun bisa membuatnya!.
dah ah intronya, karena ini bukanlah novel tapi artikel, kita mulai aja tehnik selanjutnya.
2. Encrypt
Pernah dengar yang namanya virus redlof?, “redlof†merupakan aksara terbalik dari “folder†(beberapa Antivirus menamai ini karena virus redlof akan membuat file yang bernama “folder.htt†disetiap sub direktori), apakah pernah membuka tubuh virus ini make notepad?, kalau pernah lihatlah tulisan yang jelek dan aneh dalam tubuhnya, karena virus redlof ini merupakan virus yang dibuat menggunakan visual basic script (vbs), maka kodenya bisa dilihat dengan mata telanjang. tujuan dari enkripsi pada virus itu sendiri bisa untuk menyembunyikan kode-kode jahatnya, menyembunyikan variabel-variabel konstantanya dan yang jelas untuk mengecoh deteksi Antivirus.
Redlof adalah salah satu virus yang menerapkan sistem enkripsi pada tubuhnya, lihatlah dibagian bawah tubuhnya di situ ada rutin deskripsinya yang akan menterjemahkan tulisan yang aneh dan jelek menjadi kode dan perintah-perintah virus!â€.
Algoritma enkripsi yang akan dibahas disini aku pilih yang mudah-mudah aja, sebenarnya bisa kalo mau pake alghoritma SHA, GHOST, BLOWFISH atau enkripsi standard sistem pertahanan AS, tapi aku yakin akan banyak newbie yang sakit kepala. :)
dan alghoritma tersebut sangatlah tidak wajar untuk diaplikasikan pada virus.
a. Chesar Cipper
Adapun tehnik-tehnik enkripsi sangatlah bermacam-macam, seperti enkripsi chesar chipper, enkripsi ini merupakan alghoritma yang paling sederhana, yaitu dengan cara menambah atau mengurangi karakter dalam format ascii, sehingga apabila huruf “A†di enkripsi dengan chesar hipper hashkey = 1 maka akan dihasilkan huruf “Bâ€.
huruf “A†memiliki nilai ascii 65 dienkripsi: 65+1=66, 66 adalah kode ascii dari huruf “Bâ€, jadi kalau ingin mendekripsi tinggal kurangai 1 aja maka akan kembali didapatkan huruf “Aâ€. jadi string “HackerGaul†kalau dienkripsi akan jadi “IbdlfsHbvmâ€, kacau bukan?. cara ini pernah diaplikasi oleh virus brontok varian awal.
cara ini sangat mudah, kodingnya bisa begini:
lea edi,szHackerGaul
xor ecx,ecx
@loop: ;awal pengulangan
add byte ptr [edi+ecx],1 ; tambah ascii kode dari szHackerGaul
inc ecx ; tambah counter (karakter selanjutnya)
cmp byte ptr [edi+ecx],0 ; karakter udah habis?
jne @loop ; jika belum kembali ke loop
b. Enkripsi Alghoritma XOR dan NOT
Enkripsi ini juga hampir sama sederhananya dengan yang pertama, bedanya cuman huruf yang akan dienkripsi tidak lagi ditambahkan tetapi di acak dengan logika XOR
lea esi,szHashKey
lea edi,szHackerGaul
xor ecx,ecx
xor ebx,ebx
@loop: ;awal pengulangan
mov al,byte ptr [edi+ecx] ; al=mid(szHackerGaul,ecx,1)
cmp byte ptr [esi+ecx],0
jne @lewat
xor ebx,ebx
@lewat:
xor al,byte ptr [esi+ebx] ; xor-kan dengan hashkey di esi
inc ebx ; hashkey
inc ecx ; tambah counter (karakter selanjutnya)
cmp byte ptr [edi+ecx],0 ; karakter udah habis?
jne @loop ; jika belum kembali ke loop
Hasil enkripsi dengan logika XOR terlihat lebih kacau dari chesar cipper.
enkripsi dengan NOT :
lea edi,szHackerGaul
@loop:
mov al,byte ptr [edi]
not al
mov byte ptr [edi],al
inc edi
cmp byte ptr [edi],0
jne @loop
3. Stealth
Stealth adalah tehnik untuk menyembunyikan diri dari radar Antivirus. Virus yang memiliki kemampuan stealth bisa menghilang dari proses, dan mengakibatkan program seperti taskmanager tidak mampu manampilkan adanya virus yang sedang resident di memori.
Pada wind**s 98 bisa dengan mudah menggunakan perintah API, tapi hal ini tidak berlaku untuk wind**s 2000 keatas, pada wind**s 200 keatas bisa diakalin dengan menyamarkan diri sebagai driver wind**s, sehingga taskmanager tidak mampu mendeteksinya, tapi cara ini pernah saya coba di wind**s XP sp2 dan gagal, mungkin Microsoft sudah memperbaikinya, nggak kehabisan akal akhirnya aku coba pakai tehnik kernel patching, dan berhasil. Apa itu kernel patching?, kernel patching adalah metode dimana kita akan menginjeksi kode virus ketubuh kernel milik wind**s (Dll Injection), alhasil taskmanager, ProcessExplorer (sysinternals), dan processmanager pun tidak mampu mendeteksinya. Pernah dengar backdoor rootkits?, backdoor jenis ini menggunakan metode kernel patching untuk menyembunyikan diri sehingga pernah membuat tim research security wind**s kelabakan, karena rootkits tidak bisa dideteksi dengan process manager biasa seperti task manager, ProcesssExplorer, IknownProcess, dan process manager lainnya, akhirnya sysinternals-pun membuat program khusus untuk mendeteksi backdoor rootkits yang diberinama RootkitsRevealer!. Pernahkah komputer Anda mengalami gejala-gejala seperti berikut:
1. Program firewall mengingatkan adanya program yang listen kesalah satu port.
2. Tapi tidak ada tanda-tanda proses yang melakukan hal itu.
3. Trafik bandwith berjalan sendiri.
Jika jawabannya ya, berarti komputer kamu sudah terjangkit backdoor rootkits, waspadalah!!.
Berikut adalah kutipan dari artikelnya Tan Chew Keong :
“Win32 Kernel Rootkits hide running processes from users using techniques like Kernel Native API Hooking, or by directly unlinking the process's EPROCESS entry from ActiveProcessLinks. Such techniques are very effective in hiding processes, and are very difficult to detect with user-mode tools.â€
Karena cara ini sangatlah rumit untuk dijelaskan disini, jadi bagi siapa yang mau contoh source codenya bisa minta lewat imel.
4. AntiDebug
AntiDebug adalah tehnik untuk menghindari Reverse Engineering, apa itu Reverse Engineering?, Reverse Engineering adalah cara untuk mengetahui kode atau intruksi yang sedang dijalankan oleh suatu aplikasi, lebih mudahnya untuk mendapatkan source code tanpa ijin dari si pembuat applikasi, biasanya cara ini digunakan untuk cracking software atau untuk membuat keygenerator :).
Reverse Engineering biasanya dilakukan oleh para analisator sistem seperti tim Microsoft crash service untuk mengetahui letak kesalahan (bug) pada suatu sistem, sehingga muncullah patch terbaru seperti hotfix dan sebagainya.
Untuk apa AntiDebug diaplikasi pada virus?, pernahkah kamu mendengar ada maling yang mendaftarkan diri kekantor polisi untuk ditangkap?, tidak akan pernah atau mungkin 1 juta 1 di dunia. Begitu juga dengan pembuat virus, ia tak mau jejaknya ketahuan, atau sekedar untuk menyembunyikan diri, maka diaplikasikanlah AntiDebug untuk menghindari reverse engineering.
adapun kodingnya bisa begini:
cli
not esp
not esp
sti
Tuliskan code diatas pada awal section .code, sangat mudah bukan?, dengan begitu satu tracing saja terjadi maka program akan crash!, sehingga para analisator tidak sempat melakukan reverse engineering. tapi ingat kamu juga harus membuat section .code bisa ditulis (writeble), atau kode tersebut akan sia-sia, caranya?, setelah kamu kompilasi, tambahkan / ketikkan:
“editbin /section:code,w virus.exe†pada file make.bat atau build.bat. :)
Last Word
Untuk yang nggak suka dengan tulisan artikel ini, mohon ma’af yang sebesar-besarnya, karena tulisan ini hanya untuk tujuan pendidikan saja, dan tidak ada maksud dan unsur kejahatan di dalamnya. Jadikan semua ini sebagai ilmu untuk melindungi diri kita dari kejahatan-kejahatan yang mungkin akan lebih mengerikan lagi di waktu mendatang.
Karena keterbatasan pengetahuan saya dibidang IT, jadi mohon dima’lumi apabila terdapat pemahaman yang salah, ketidak pahaman saya atau karena kobodohan saya.
0 komentar:
Posting Komentar