VIRUS KUNG FU. Wardana

VIRUS KUNG FU

Wardana http://www.Jasakom.com

VIRUS KUNG FU JURUS SIMPANAN YANG TIDAK PERNAH DIKUPAS TUNTAS

Hak Cipta © 2008 pada penulis Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya, tanpa izin tertulis dari Penulis dan Penerbit.

ISBN 978-979-1090-12-4

Cetakan pertama

: Maret 2008

Publisher Jasakom Web Site http://www.jasakom.com

Contact PO Box 6179 JKB Fax : 021-56957634 HP : 0888-1911091

Email [email protected]

Ketentuan pidana pasal 72 UU No. 19 tahun 2002

1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat (1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah). 2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00 (lima ratus juta rupiah)

Daftar ISI Bab 1. Pendahuluan...................................................................1 Bab 2. Cara Kerja Virus dan Exploit yang digunakan..................7 EXPLOIT AUTORUN.................................................................................... 9 Autorun Via System Windows................................................................................9 1. Exploit Registry............................................................................................. 9 2. Exploit Folder StartUp................................................................................. 14 3. Exploit File Autoexec.bat............................................................................. 15 Autorun Via Program Biasa................................................................................... 15 1.Exploit Nama Program................................................................................. 15 2.Exploit Handle File....................................................................................... 17 3.Exploit Debugger program........................................................................... 19 4.Exploit Inject File Program........................................................................... 20 5.Exploit Shortcut Program............................................................................. 20 Autorun Via File Data............................................................................................ 21 Exploit Perlindungan................................................................................... 22

BAB 3. VIRUS JAVA SCRIPT.......................................................35 FILE SYSTEM OBJECT.............................................................................. 36 1. File..................................................................................................................... 36 a.Membuat file................................................................................................. 36 b.Menambah isi file.......................................................................................... 38 c.Membaca isi file............................................................................................ 39 d.Memindah, mengkopi dan menghapus file................................................... 40 e.Mengeset attribute file................................................................................... 41 2. Folder................................................................................................................. 42 3. Drive.................................................................................................................. 44

REGISTRY.................................................................................................. 47 1. Membaca Registry............................................................................................. 47 2. Menulis registry................................................................................................. 48 3. Menghapus data registry.................................................................................... 48 LAIN-LAIN................................................................................................... 48 1. Mengkopi diri sendiri ke suatu tempat.............................................................. 49 2. Memanggil Program lain................................................................................... 49 3. Menjalankan perintah DOS melalui JS............................................................. 50 4. Membuat Shortcut Program............................................................................... 50 5. Membuat Shortcut Website................................................................................ 51 6. Mencek ada tidaknya Flashdisk......................................................................... 51

BAB IV. PENGENALAN DELPHI......................................................55 1. Helo World.............................................................................................. 58 2. Aplikasi Penjumlahan.............................................................................. 63 3. Aplikasi Matematika................................................................................ 65 1. Komentar................................................................................................. 68 2. Variabel................................................................................................... 68  Type Integer....................................................................................................... 69  Type karakter..................................................................................................... 70  Type Boolean..................................................................................................... 70  Type String........................................................................................................ 71  Type Real........................................................................................................... 71  Type Enumerasi................................................................................................. 72  Type Himpunan (Set)........................................................................................ 72 3. Konstanta................................................................................................ 72 4. Pernyataan Percabangan....................................................................... 72  Percabangan bersyarat If – Then – Else............................................................ 73  Percabangan bersyarat case – of........................................................................ 74 5. Pengulangan (Looping)........................................................................... 74  For …Do............................................................................................................ 74  While … Do...................................................................................................... 75  Repeat … Until.................................................................................................. 76

6. SubRutin................................................................................................. 76  Prosedur............................................................................................................. 76  Fungsi................................................................................................................ 77 7. Unit.......................................................................................................... 78

Bab 5. Delphi Maut...................................................................81 1. Unit File................................................................................................... 81  Function FileCreateTxt(Alamat : String; Isi: String): Boolean;........................ 85  Function FileReadAll(Alamat:String):String;................................................... 86  Function FileReadLine(Alamat:String; NoBaris:Integer):String;..................... 86  Function FileDelete(Alamat: String):Boolean;................................................. 87  Function FileRename(AlamatLama:string;AlamatBaru:string):Boolean;........ 87  Function FileSetAttribut(Alamat:string; atrib :Atribut): Boolean;................... 87  Function FileGetAttribut(Alamat:String):String;.............................................. 88  Function FileExist(Alamat:String):Boolean;.................................................... 89  Function FileCopy(AlamatLama:String;AlamatBaru:String): Boolean;.......... 89  Function FileDeleteToBin(Alamat:string) : Boolean;....................................... 89  Function FileExeRun(Alamat:String; jenis:Tampilan):Boolean;...................... 89  Function FileDocRun(handle:hwnd; alamat:String;jenis:Tampilan):Boolean;.89  Function FileGetName(Alamat:String): string;................................................. 90  Function FileGetExt(Alamat:String):string;...................................................... 90  Function FileGetPath(Alamat:string):String;.................................................... 90  Function FileProperties(Alamat:String):Boolean;............................................ 90  Function FileLength(Alamat:String):LongInt;.................................................. 91  Function Filedate(Alamat:string):String;.......................................................... 91  Procedure FileList(NamaList: TListBox; Alamat, Ekstensi:String);................ 91 2. Unit Folder............................................................................................... 92  Function FolderCreate(Alamat:String):Boolean;.............................................. 94  Function FolderExists(Alamat:String):Boolean;............................................... 94  Function FolderDelete(Alamat:String):Boolean;.............................................. 94  Function FolderRename(AlamatLama :String;AlamatBaru:String):Boolean;.. 94  Function FolderSpecial(Nama:SpesialF):String;.............................................. 95  Function FolderBrowse(Handle:Hwnd):string;................................................. 96  Function FolderExplorer(handle:Hwnd; Alamat:String):boolean;.................... 96  Function DriveType(Alamat:String):String;..................................................... 96

3. Unit Registry............................................................................................ 97 Function RegReadString(Hiva: Root; Subkey, sKey:String):String;................. 99 Function RegReadDword(Hiva:Root;Subkey,sKey:String): integer;................ 99 Function RegWriteString(Hiva:root; Subkey,sKey,sValue:string): boolean;..... 99 Function RegWriteDword(Hiva:root;Subkey,sKey:String;iValue: Integer):boolean;............................................................................................. 100 Function RegDeleteValue(Hiva:Root;Subkey,sKey:String): Boolean;............ 100 Function RegDeleteSubKey(Hiva:Root; Subkey:String):Boolean;................. 100 4. Virus Delphi........................................................................................... 100

BAB 6. VIRUS VS DONO...........................................................113 BAB 7 . ANALISA VIRUS...........................................................151 1.Virus Tati................................................................................................ 162 Analisa Statis....................................................................................................... 162 Analisa Dinamis.................................................................................................. 165 2. Unknown Virus...................................................................................... 169

ANALISA VIRUS BAB 7 . ANALISA VIRUS

P

ernahkah Anda berpikir bagaimana para pembuat antivirus menganalisa virus ? Bagaimana mereka bisa mengeluarkan langkah demi langkah yang perlu dilakukan untuk memberantas virus dan mengeluarkan informasi tentang bagaimana virus bekerja? Pada bab ini kita akan berlatih menganalisa virus dan tentu saja untuk menganalisa virus, kita harus menjalankan virus tersebut untuk dipelajari tingkah lakunya, seperti mengkopi diri kemana saja dan data registry apa saja yang dibuatnya. Tetapi pertanyaannya adalah bagaimana cara kita menjalankan virus tersebut tanpa membahayakan file-file data kita ? Ada beberapa solusi, antara lain

Gambar 7.0 Windows dijalankan dengan Virtual Machine

151

Jasakom

BAB 7

1. Siapkan komputer khusus untuk menjalankan virus. Artinya kita harus memiliki 2 komputer, 1 untuk menyimpan file-file penting, dan yang satunya untuk menjalankan program-program yang berbahaya. Solusi ini terpaksa saya kesampingkan karena harus keluar budget yang besar. 2. Gunakan program virtual machine untuk menjalankan OS Windows secara virtual (gambar 7.0):

ANALISA VIRUS Disini saya menggunakan Windows virtual untuk menganalisa virus di dalam Windows tempat saya mengetik naskah ini tanpa khawatir virus yang berada dalam Windows Virtual akan menyebar ke Windows tempat saya bekerja. Program yang saya gunakan untuk menjalankan Windows di dalam Windows tersebut adalah Virtual PC 2007 (http://www. Microsoft.com/Windows/products/winfamily/virtualpc/default. mspx). Untuk dapat melakukan hal seperti ini, RAM minimal yang dibutuhkan komputer adalah 512 MB dengan ruang kosong di hardisk untuk Windows virtual tersebut sekitar 2 gigabyte. Sebenarnya ada program Virtual Machine juga yang lebih baik dibandingkan Virtual PC 2007, yaitu VMWare (www.vmware. com) tetapi mesin virtual ini tidaklah gratis. 3. Gunakan program Deepfreeze untuk mengunci keadaan Windows, yang bisa mengembalikan kondisi Windows ke kondisi semula. Cara ini kurang nyaman, karena setelah menganalisa virus kita tetap harus membuat laporan keadaan virus. File-file laporan ini juga akan hilang beserta virusnya setelah komputer direstart, kecuali dipindahkan ke suatu tempat yang tidak di-deepfreeze dengan resiko virus juga akan masuk ke tempat tersebut. Jadi yang paling nyaman dan eknomis adalah menggunakan program Virtual PC. Yang kita perlukan adalah program Virtual PC, CD Windows dan program penganalisa virus. Adapun cara memasang program ini adalah sebagai berikut : 1. Jalankan file program setup.exe untuk menginstall program virtual PC

BAB 7

Gambar 7.1 Mulai Menginstal Virtual PC 2007

2. Selanjutnya tekan tombol Next dan terima perjanjian penggunaan software ini. 3. Next…. Terus Next….. sampai Install dan Finish 

152

Jasakom

ANALISA VIRUS 4. Akan muncul shortcut di All Program, seperti gambar 7.2.

Gambar 7.2 Menjalankan Program Virtual PC 2007

5. Selanjutnya akan muncul Virtual PC Console (gambar berikut 7.3)

Gambar 7.3 Konsul Virtual PC 2007

6. Pilih New, maka akan keluar wizard untuk pembuatan virtual Machine, yaitu OS di dalam Windows kita. Tekan Next, maka akan keluar pilihan

7. Pilih Create a Virtual Machine untuk membuat OS virtual baru. Selanjutnya tekan tombol Next 8. Tentukan letak file Virtual Machine tersebut. File ini mempunyai ukuran yang besar

BAB 7

Gambar 7.4 Membuat Mesin Virtual

153

Jasakom

ANALISA VIRUS 9. Selanjutnya pilih OS virtual yang diinginkan. Untuk kasus kita ini adalah Windows XP.

Gambar 7.5 Memilih OS untuk Virtual PC 2007

10. Selanjutnya klik tombol Next. Anda dapat memilih Using the Recommended RAM (128 mb), tetapi saya sarankan Anda memperbesar nilai RAM tersebut supaya Windows virtualnya dapat bekerja dengan baik, yaitu sekitar 200 MB. Perhatikan gambar 7.6.

Gambar 7.6 Mengatur Ukuran Ram Virtual Machine

BAB 7

11. Selanjutnya klik tombol Next dan pilih a New Virtual Hardisk dan Next, lalu atur besarnya penggunaan hardisk seperti 10000 MB, dan Next lalu terakhir Finish. 12. Di Virtual PC console akan terbentuk Virtual Machine baru (gambar 7.7)

154

Jasakom

Gambar 7.7 Menjalankan Virtual Machine

ANALISA VIRUS 13. Siapkan CD Windows XP Anda untuk menginstall Windows pada Virtual Machine dan tekan tombol start pada Virtual PC Console tersebut. 14. Selanjutnya akan muncul tampilan blank screen pada Virtual Machine tersebut seperti saat kita menghidupkan komputer. Pilih menu CD dan Use Phisical Drive E:, jika CD Windows XPnya ada di drive E. Installlah Windows baru di Virtual Machine tersebut. 15. Setelah Windows Virtual terpasang, kita bisa membuat koneksi antar Windows kita sesungguhnya dengan Windows Virtual tersebut. Caranya adalah :  Setelah masuk ke Windows Virtual, pada program Virtual Machine, pilih menu Action, lalu pilih Install or Update Virtual Machine Addons.  Setelah menginstall Addons tersebut, buat folder sharing supaya kita dapat saling bertukar data antara Windows virtual dengan Windows kita, caranya dari menu Edit pilih Setting, pilih Share Folder, seperti gambar 7.8 berikut ini:



Selanjutnya tekan tombol share folder untuk memilih folder di Windows kita yang akan disharing dengan Windows virtual, misalnya saja folder bernama sharing folder. Anda dapat mengaturnya supaya selalu disharing (gambar 7.9)

155

Jasakom

BAB 7

Gambar 7.8 Membuat Folder Sharing

ANALISA VIRUS Gambar 7.9 Mengeset Lokasi Folder Sharing dengan Windows Sesuangguhnya

Selesailah sudah pemasangan Windows Virtual tersebut. Untuk sharing program, Anda dapat meletakkan program pada folder yang disharing tersebut, sedangkan pada Windows Virtual, folder sharing tersebut menjadi drive. Pada gambar diatas adalah drive Y:. Dengan Windows Virtual, kita dapat mengembalikannya ke kondisi awal apabila dirusak oleh virus dan dapat pula menyimpan perubahan yang kita lakukan. Caranya setelah Windows tersebut di shutdown, akan muncul pilihan commit atau Delete change. Jika Anda memilih commit maka perubahan yang Anda lakukan di Windows selama menggunakan Virtual Machine akan disimpan dan sebaliknya jika Delete maka perubahan tidak akan disimpan dan kondisi Windows akan kembali seperti sediakala. Sekarang kita siapkan program untuk dimasukkan dalam Virtual Windows tersebut, yaitu :

BAB 7

1. Winrar, maklum untuk sharing file virus, kita harus mengkompressnya supaya tidak terjadi kesalahan saat membuka program. 2. Office XP, karena umumnya virus suka mengobok-obok file dokument, sepert file doc, xls dan ppt. 3. Program debugger seperti ollydbg 4. Program Disassambler, seperti : PE Explorer dari www. heaventools.com. Selain disassembler, program ini juga sebagai resource editor dan Dependency scanner 5. Program Hex Editor, seperti WinHex

156

Jasakom

ANALISA VIRUS

6. Program-program cracking tool lain seperti Unpacker, program untuk meng-unpack program yang telah dikompress dengan program pengepack, seperti upx. Program-program tersebut dapat didownload di www.teamicu.org dengan kata kunci CrackersKit. Jangan lupa sebelum menjalankan program yang Anda download, discan terlebih dahulu, maklum programprogram underground sering mengundang bahaya. CrackersKit sendiri adalah gabungan dari beberapa software cracking. 7. Program Thinstall dari http://thinstall.com. Program thinnstall ini sebenarnya berfungsi merubah program yang perlu diinstal menjadi program portable. Kita memerlukan program ini untuk men-capture keadaan Windows sebelum dan sesudah virus masuk ke dalam Windows untuk mengetahui penyebaran program virus tersebut di dalam komputer plus data registry apa saja yang dirubah oleh virus tersebut. 8. Program untuk analisis port apa saja yang dibuka oleh virus (siapa tahu virus tersebut membuka port jaringan sebagai backdoor), seperti program Network Security Auditor dari www. nsauditor.com.

157

Jasakom

BAB 7

Gambar 7.10 Program PE Explorer

ANALISA VIRUS

Gambar 7.11 Program Network Security Auditor

9. Program Task Manager diluar produk Microsoft seperti My Terminate 10. Program Registry Editor diluar produk Microsoft seperti TuneUp Registry Editor dari www.tune-up.com. Program ini dilengkapi kemampuan mencari nilai dan data di registry, jauh lebih baik daripada buatan Windows.

BAB 7 Gambar 7.12 Program TuneUp Registry Editor

158

Jasakom

ANALISA VIRUS Ok, cukup pengenalan softwarenya. Kita langsung saja ke bagian praktek penganalisaan virus. Setelah program-program di atas diinstall di Windows Virtual, Anda harus shutdown dan memilih commit supaya perubahan dan penginstallan tersebut menjadi permanen di Windows Virtual Anda. Setelah selesai, kini kita siap melakukan analisa Virus !

1. Analisa virus secara statis, artinya virus tersebut tidak dioperasikan, kita hanya menganalisa kode-kode di dalamnya, dengan cara:  membaca info header program, misalnya dengan PE Explorer  Melihat data Resource Program, misalnya dengan PE Explorer  Disassembling kode untuk mempelajari tingkah lakunya, terutama nilai stringnya, selain itu untuk mengetahui apakah file virus tersebut dikompress, misalnya dengan UPX supaya dapat diuncomprees kembali. Sedikit info, program PE Explorer sudah dilengkapi dengan program untuk menguncompress program yang di –UPX.  Depedency Scanning. Dengan teknik ini kita dapat mengetahui file library atau program apa saja yang terkait dengan program virus ini. Jika tidak ada, kemungkinan besar virus tidak akan dapat bekerja. Dengan disassembling menggunakan program PE Explorer, kita dapat melihat data string apa saja yang terkandung dalam suatu program. Dari data string tersebut kemungkinan kita dapat menerka tingkah laku virus tersebut.

159

Jasakom

BAB 7

Pada dasarnya, untuk menganalisa virus ada 2 tahapan, yaitu :

ANALISA VIRUS

Gambar 7.13 Hasil Dependecy Scannning Menggunakan PE Explorer

BAB 7 Gambar 7.14 Hasil Disassembling Menggunakan PE Explorer

160

Jasakom

ANALISA VIRUS 2. Analisa virus secara dinamis, jadi program virus dioperasikan untuk menyerang system dan kita pelajari sifat dan cara kerja virus tersebut yang bisa dibagi menjadi 2, yaitu : a. Analisa proses, misalnya :  Analisa proses virus di memory. Program yang digunakan adalah Program debugger (seperti ollydbg) dan program process explorer (seperti Process Explorer dari www. sysinternals.com)  Analisa akses registry, misalnya dengan RegmonNT dari www.sysinternals.com  Analisa akses system file. Kemana saja virus mengcopy dirinya, misalnya dengan menggunakan program FilemonNT dari www.sysinternals.com  Analisa perubahan sistem Windows, baik sistem file maupun registry, misalnya dengan program Thinstall dari http:// thinstall.com. Dengan menggunakan program ini kita dapat mengetahui perubahan yang terjadi pada Windows setelah diserang oleh virus.

Ok, cukup teorinya, sekarang waktunya untuk praktek….  Bahan yang harus disediakan adalah sampel virus….Anda harus mempunyai program virus, yang akan kita analisa… Ada 2 macam virus yang akan kita analisa, yaitu virus Tati dan virus apa gitu, tidak tau namanya, maklum nemu di warnet . Jadi virus tersebut saya kompress rar dan dipassword supaya saat dimasukkan dalam komputer tidak dihapus oleh program antivirus. So, Mari kita analisa bersama, tentu di dalam lingkungan Windows Virtual

161

Jasakom

BAB 7

b. Analisa jaringan, misalnya :  Analisa penggunaan port jaringan, misalnya dengan program Network Security Auditor dari www.nsauditor. com.  Sniffing data paket jaringan yang dikirimkan virus, misalnya dengan program Network Security Auditor dari www. nsauditor.com. Dengan teknik ini kita dapat mengetahui data apa saja yang ditransfer virus melalui jaringan komputer.

ANALISA VIRUS 1.

Virus Tati Tampilan program virus tersebut tampak seperti gambar 7.15. Gambar 7.15 File-file Virus di Windows Virtual\

Analisa Statis Berdasarkan penampakkan visual : Ukuran : 197 kb Icon : Folder terbuka Selanjutnya klik kanan pada file virus tersebut dan pilih Open with PE Explorer. Berdasarkan info program PE Explorer, ternyata file virus tersebut di-compress dengan program UPX, dan oleh program PE Explorer langsung di unpack (gambar 7.16)

BAB 7 Gambar 7.16 Unpacking Virus oleh PE Explorer

162

Jasakom

Selanjutnya pilih menu Tools, lalu Dependency Scannner. Hasilnya tampak seperti gambar 7.17.

ANALISA VIRUS

Gambar 7.17 Hasil Dependecy Scanning pada Virus Tati

BAB 7

Virus ini ternyata tidak dibuat dengan program Visual basic, karena tidak menggunakan file msvbvm60.dll. Kira-kira dibuat dengan program apa ya ? Dan sepertinya virus ini mengakses jaringan karena menggunakan file wsock32.dll. Tutup form ini dan sekarang kita pilih menu View lalu Resource untuk melihat resource program tersebut, hasilnya bisa dilihat pada gambar 7.18.

Gambar 7.18 Resource Virus Tati

163

Jasakom

ANALISA VIRUS Ternyata program virus tersebut memiliki menu. Buat apa ya ? Apakah programmer virusnya mengecek modul programnya dengan menggunakan menu untuk mengakses modul/prosedur tertentu ? Kemungkinan besar virus ini dibuat dengan bahasa C, karena andai kata dibuat dengan Delphi maka seharusnya di resource ada RC data yang berisi tentang packageinfo bahwa program kita menggunakan bahasa pascal, seperti resource program buatan Delphi ini.

Gambar 7.19 Resource Program Produk Delphi

BAB 7

Ok, sekarang file virus tersebut kita disassembly-kan. Dari menu Tools pilih Disassemble, selanjutnya lihat nilai stringnya, siapa tau dapat info lainnya.

164

Jasakom

ANALISA VIRUS

Gambar 7.20 Hasil Disassembling Virus Tati

Wow, virusnya mengakses beberapa lokasi folder, seperti My Document, Startup, Programs dan Start Menu. Apakah virus ini menyebarkan dirinya ke lokasi-lokasi tersebut ? Mungkin sekali ! Sayang sekali saya kurang pandai membaca kode assembly, jadi saya tidak berani mengungkapkan hasil analisa disassembly-nya, takut salah. Selanjutnya kita masuk ke analisa Dinamis.

Analisa Dinamis.

BAB 7

Virus siap untuk dijalankan, tetapi sebelumnya sharing folder dari virtual PC harus dimatikan terlebih dahulu. Siapa tau virusnya masuk ke drive virtual PC sehingga membahayakan komputer yang sedang kita gunakan. Mari kita jalankan program Thinstall, pilih Setup Capture, maka akan muncul tampilan seperti gambar 7.21.

Gambar 7.21 Memulai Program Thinnstall

165

Jasakom

ANALISA VIRUS Pilih Start, selanjutnya pilih Pre_install scan. Tunggu sampai selesai pengambilan data Windows sebelum virus dijalankan. Selanjutnya jalankan file virus tersebut, lalu restart Windows virtual Anda. Setelah masuk kembali ke Windows, program thinstall akan menanyakan apakah akan melanjutkan pencapture-an atau tidak. Pilihlah melanjutkan. Lalu cek jaringan dengan menggunakan program NSauditor dan ternyata tidak terlihat adanya usaha virus untuk membuka port jaringan, seperti yang ditampilkan pada gambar 7.22 berikut :

Gambar 7.22 Hasil Pemindaian Port oleh NSauditor

BAB 7

Sekarang dengan menggunakan program Process Explorer, matikan program virus Tati tersebut seperti gambar 7.23.

166

Jasakom

ANALISA VIRUS

Gambar 7.23 Mematikan Virus Tati Menggunakan Process Explorer

BAB 7

Setelah virus tati dihentikan dan selanjutnya kita pelajari perubahan apa saja yang dilakukan oleh virus tersebut , jadi jalankan langkah selanjutnya dari program thinstall dan terakhir simpan hasil perubahan tersebut pada suatu tempat, seperti gambar 7.24.

Gambar 7.24 Menyimpan Hasil Pencapturean Perubahan Windows

Hasil analisa dengan program Thinstall dapat dilihat pada tempat penyimpanan snapshot tersebut dan ternyata

167

Jasakom

ANALISA VIRUS virus tati tersebut hanya masuk ke folder common startup, seperti yang ditunjukkan oleh gambar 7.25.

Gambar 7.25 Mencek Hasil Pengumpulan Perubahan Windows oleh Thinstall

BAB 7

Selain di folder common, ditempat lain tidak ditemukan virus ini, sungguh mencurigakan, padahal dari analisa tubuh virus yang telah kita lakukan ditemukan data lokasi beberapa folder Windows, hal ini mungkin saja dilakukan virus, karena programmernya mengeset tingkah laku programnya berbeda antara Windows virtual dengan Windows sesungguhnya supaya mempersulit kita untuk menganalisa proses virus melalui Windows virtual. Tindakan ini semakin mencurigakan karena ternyata tidak ada data registry yang dirubah virus berdasarkan file snapshot program thinnstall. Terpaksa harus dilakukan di Windows sesungguhnya dan ini artinya Anda harus menyiapkan komputer khusus untuk virus. Jadi Sekarang kita menganalisa virus selanjutnya, lho kok virus tatinya dilupakan ? Harap maklum penulis tidak mempunyai komputer khusus untuk menjalankan virus. Yang jelas dengan menggunakan program thinstall kita mampu melihat penyebaran virus dan data registry apa saja yang dirubah olehnya. Ok, matikan Windows virtual, pilih Delete undo Disk change, untuk menghapus perubahan yang telah dilakukan virus tati.

168

Jasakom

Kesuksesan buku Seni Teknik Hacking 1 sudah tidak dapat diragukan lagi. Kini, hadir lagi kelanjutannya yang lebih seru lagi yaitu Seni Teknik Hacking 2 yang bahkan sudah disertai dengan Jasakom E-Learning, suatu bentuk pembelajaran yang menggabungkan antara buku teks dengan Video Tutorial spesial yang tidak Anda dapatkan pada buku manapun saat ini. Segera dapatkan serial Seni Teknik Hacking yang telah menjadi buku Hacking paling diminati dan dinanti pecinta buku-buku keamanan dan hacking di tanah air.

Kunjungi www.jasakom.com untuk melihat dan membeli buku-buku terbitan dari Jasakom Buku ini juga tersedia di toko-toko buku di seluruh Indonesia seperti Gramedia, Toga Mas Gunung Agung, Hero, Kharisma, Uranus, dll