Rabu, 11 Maret 2009

By Pass Proteksi Executable Lock Down dan Backdoor virus


Pada pembahasan sebelumnya telah dibahas cara mengatasi lupa password Executable Lock Down dengan mereset passwordnya. Pada beberapa kasus, komputer yang anda temui entah itu di warnet, di kantor dsb mungkin saja drive tempat lokasi password executable lock down disembunyikan. Lha anda mungkin saja pengin nginstall program baru. Salah satu solusinya kita bisa saja mengutak-atik registry lokasi drive disembunyikan ( Nodrives).
Tetapi pada contoh kali ini, saya ingin mencoba memakai cara lain yaitu mengubah ekstensi file yang terblokir.

Program executable lockdown memblok file2 executable semacam exe, com, bat, dan sejenisnya. Bagaimana bila program kita rename dengan ekstensi lain? Dalam kasus proteksi memakai executable lockdown , program yang tadinya terblokir ternyata memang diijinkan berjalan bila namanya direname menjadi ekstensi lain.

Masalahnya adalah program yang diubah ekstensinya justru bakal ditolak oleh sistem karena tidak dikenal, karena itu solusinya : registrynya perlu didaftarkan dulu.

Copy paste script atau backup registry file exe yang sudah diubah ekstensinya, copi ke notepad lalu simpan dengan ekstensi.reg. Jangan lupa pilih All files untuk Save as type. Kemudian jalankan file reg tersebut, masukkan ke registry.

Scriptnya gini :

Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\.sexy]

@="sexyfile"

"Content Type"="application/x-msdownload"


[HKEY_CLASSES_ROOT\.sexy\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"


[HKEY_CLASSES_ROOT\sexyfile]

@="Application"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescription;Company;FileVersion"

"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"


[HKEY_CLASSES_ROOT\sexyfile\DefaultIcon]

@="%1"


[HKEY_CLASSES_ROOT\sexyfile\shell]


[HKEY_CLASSES_ROOT\sexyfile\shell\open]

"EditFlags"=hex:00,00,00,00


[HKEY_CLASSES_ROOT\sexyfile\shell\open\command]

@="\"%1\" %*"


[HKEY_CLASSES_ROOT\sexyfile\shell\runas]


[HKEY_CLASSES_ROOT\sexyfile\shell\runas\command]

@="\"%1\" %*"


[HKEY_CLASSES_ROOT\sexyfile\shellex]


[HKEY_CLASSES_ROOT\sexyfile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"


[HKEY_CLASSES_ROOT\sexyfile\shellex\PropertySheetHandlers]


[HKEY_CLASSES_ROOT\sexyfile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"


[HKEY_CLASSES_ROOT\sexyfile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


[HKEY_CLASSES_ROOT\sexyfile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]

@=""


Bila script tersebut masuk registry maka ekstensi baru yaitu sexy akan diperlakukan sama dengan file exe oleh sistem windows. (Registry file exe tetap tidak diutak-atik.)

Bedanya adalah : Jika file exe akan diblok executable lock down tidak boleh berjalan - tetapi file dengan ekstensi bajakan yaitu ekstemsi sexy tetap dibiarkan berjalan.

Pada contoh ini file ninja.exe akan diblokir oleh executable lockdown, sedangkan ninja.sexy akan dibiarkan berjalan.

Aplikasi tips ini sebenarnya sangat luas - tidak cuma untuk mengatasi executable lockdown saja.

Bagi pembuat virus, cara ini bisa saja dipakai agar ekstensi virusnya tidak kelihatan berbahaya. Padahal aslinya file executable. Tentu saja iconnya disesuaikan. Bisa saja virus menyamar jadi file jpg, mp3, txt dan sebagainya dengan memakai cara ini. Ekstensinya kelihatannya tidak berbahaya semisal jpg. Asli jpg bukan dobel ekstensi jpg.exe tetapi file jpg itu sudah diredirect registrynya ke file exe.

Di sisi lain, bagi teman-teman yang ingin mencegah virus, cara ini juga bisa dipakai : Untuk virus yang senang menyerang ekstensi tertentu, karena ekstensi filenya kita ubah, maka file2 kita akan relatif lebih aman dari virus. Kita bisa juga membuat semacam jalan belakang untuk mengamankan ekstensi2 penting. Misalnya saja semua ekstensi reg, exe, inf, vbs dsb diblok virus - karena sebelumnya kita sudah membuat backup dengan ekstensi lain file2 tersebut, maka otomatis file2 tersebut masih bisa berjalan.

Pada contoh ini gampangannya bila kita anggap virus berperilaku sama seperti executable lockdown yaitu kita tidak boleh menjalankan file exe selain yang dia inginkan, maka file sexy kemungkinan besar tetap masih boleh berjalan. Begitu juga jika virus X hanya menyerang file exe saja - karena kita punya backup file bernama sexy, maka file sexy itu juga tidak akan diserang virus.

Tentu saja yang saya bicarakan ini adalah sekedar kemungkinan - karena bisa saja jika nasib sial maka virus yang jatuh cinta dengan komputer kita justru virus ganas yang memformat HD misalnya. Dalam kasus seperti itu tentu solusi diatas tidak menyelesaikan masalah.

Oh iya : Tips ini ternyata belum tentu mempan untuk memby pass proteksi program blokir executable sejenisnya. Program AES atau Anti executable buatan Faronics(pembuat Deepfreeze) tidak bisa dibypass dengan cara ini. Tentu saja masih sangat mungkin kita mereset lokasi passwordnya, tetapi kayaknya itu juga hanya bisa dilakukan diluar windows normal. Kayaknya sih.

Saran saya sih bagi admin mendingan pakai AntiExecutable saja. Mungkin saja masalah AntiExecutable itu akan saya bahas lain kali.

SALAM

Lanjutan Artikel : http://lovepassword.blogspot.com/2009/09/registry-shell-spawning-untuk-by-pass.html

SALAM


3 komentar:








Anonim

mengatakan...

Wow thank you om, arigato gozaimas, kamsia, jazakallah, terima kasih.

bermanfaat banget buat saya neh om.
sekali lagi makasih.





Perlunya Web Komunitas Event Organizer

mengatakan...

wow.. komplit banget!





atem

mengatakan...

makasih banyak gan

bantu bener loe




Posting Komentar

Terimakasih telah Berkunjung ....Ditunggu Komentarnya Lho....Silahken Silahken.... ^_^