Virus
entah local atau impor udah merajalela di dunia ini,kadang kala kita
bingung dan dibuat pusiiing tujuh keliling oleh ulah para V-Maker,ada
yang kehilangan data,ada yang OS nya hank,dan masih banyak lagi,dan para
V-Maker di nun jauh disana pastilah hanya tersenyum dan berkata
“kaciaan deh lo..wkwkw”,tapi untungnya setiap perbuatan pasti ada
akibatnya,ada virus pasti ada antivirus yang bisa membasminya,tapi
kadang orang awam kan hanya asal download AV trus pake tanpa tahu gimana
sih para pencipta AV menemukan cara kerja virus dan cara membasminya.
Temen-temen ada yang tahu??atau temen-temen bisa nih baca tulisan saya
yang butut ini. Ok sebelum menganalisa virus kita siapkan dulu
peralatannya…
1.Aplikasi ThinApp ( Download1 – Download 2 )
2.Virus tentunya
3.Computer (direkomendasikan menggunakan virtual machine,biar data lebih aman gan,plus depfrezee kalau suka pake itu)
Install lalu Jalankan ThinApp di computer anda semua,trus setelah selesai klik “ThinApp Setup Capture”,lalu lakukan scanning,sangat lebih baik bila computer kita dalam kondisi fresh atau belum terinstall aplikasi apapun,kecuali ThinApp tadi..(makanya diawal tadi saya bilang pake virtual machine+depfreeze)
2.Virus tentunya
3.Computer (direkomendasikan menggunakan virtual machine,biar data lebih aman gan,plus depfrezee kalau suka pake itu)
Install lalu Jalankan ThinApp di computer anda semua,trus setelah selesai klik “ThinApp Setup Capture”,lalu lakukan scanning,sangat lebih baik bila computer kita dalam kondisi fresh atau belum terinstall aplikasi apapun,kecuali ThinApp tadi..(makanya diawal tadi saya bilang pake virtual machine+depfreeze)
Proses
scan nya gak lama kok,paling banter thu 10 detik gak nyampe,lalu
jalankan virus yang udah ente semua siapkan tadi (thinApp nya jangan di
close lho ya)contoh,disini saya habis download sampel virus di
internet,dikasih namanya sih “aqiel” dan saya belum tahu cara kerja ni
virus gimana…
Setelah
dijalankan,lalau kita kembali ke ThinApp tadi,lalu klik”postscan”,nha
disini nih agak lama bisanya scanning nya,soalnya dia harus meng-compare
kan hasil scan sebelum virus dijalankan dan sesudah virus dijalankan..
Yup,selesai
sudah scanning nya,biasanya sih 3 menit kalau dikomputer saya
lho,maklum kompie butut he he he,disini akan muncul nama program yang
kita jalankan tadi,pada pilihan “show entry points used for debugging”
gak usah di checklist karena kita gak pengen menjalankan file virus tadi
berulang-ulang
Pada
bagian ini langsung kita next,next,lalu save,soalnya gak ada yang pelu
ane jelasin disini,tentunya temen-temen semua dah paham isinya..he he he
Setelah
itu kita pilih “open project”,dimana kita akan mulai menganalisa virus
tadi,lalu klik cancel dan kita buka project kita tadi…
program
Thin App akan menciptakan 3 file txt yang mewakili registry yaitu
HKEY_CURRENT_USER.txt,HKEY_LOCAL_MACHINE.txt dan HKEY_USERS.txt dengan
bermodalkan file tersebut kita bisa cek satu-persatu perubahan yang ada
di registry
contoh yang saya buka di HKEY_LOCAL_MACHINE.txt
isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
Value=AntiVirusDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallDisableNotify
REG_DWORD=#01#00#00#00
Value=UpdatesDisableNotify
REG_DWORD=#01#00#00#00
Value=AntiVirusOverride
REG_DWORD=#01#00#00#00
Value=FirewallOverride
REG_DWORD=#01#00#00#00
Value=UacDisableNotify
REG_DWORD=#01#00#00#00
isolation_full HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Svc
Value=AntiVirusOverride
REG_DWORD=#01#00#00#00
Value=AntiVirusDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallOverride
REG_DWORD=#01#00#00#00
Value=UpdatesDisableNotify
REG_DWORD=#01#00#00#00
Value=UacDisableNotify
REG_DWORD=#01#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
Value=EnableLUA
REG_DWORD=#00#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Value=PendingFileRenameOperations
REG_MULTI_SZ~\??\%Temp~0014\VMwareDnD\f6b124d7\#2300#2300#2300
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
Value=Epoch
REG_DWORD=#18#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Value=EnableFirewall
REG_DWORD=#00#00#00#00
Value=DoNotAllowExceptions
REG_DWORD=#00#00#00#00
Value=DisableNotifications
REG_DWORD=#01#00#00#00
isolation_writecopy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Value~%Personal%\agdx\aqiel.exe
REG_SZ~%Personal%\agdx\aqiel.exe:*:Enabled:ipsec#2300
kita juga bisa cek satu-persatu folder di project yang kita buka tadi,misalkan kita menemukan file ‘aqiel.exe‘ di folder %System Root% artinya virus tadi sebenarnya hendak menciptakan file ‘aqiel.exe‘ di folder C:\Windows
Nah,dari
tehnik diatas kita bisa tahu cara kerja virus tersebut,dan mampu
mengatasinya secara manual,jadi gak perlu capek2 nunggu AV update
terbaru,Tapi tehnik diatas kadang gak ampuh apabila sang virus mampu
mendeteksi keberadaan mesin virtual,dan sang virus mendisable aplikasi
ThinApp.Mungkin tehnik dari ane ini cukup basi buat master-master
sekalian tapi ane Cuma seorang user yang mencoba berbagi ilmu yang ane
miliki,bila ada yang salah dalam tutor ane diatas mohon koreksi dari
para suhu sekalian.
0 komentar:
Posting Komentar