Disini saya coba untuk menjelaskan sedikit cara menghapus virus yang ada di flashdisk melalui Command Prompt. Ini juga dari hasil penelusuran saya di halaman rumah om google dan menemukan beberapa forum yang membahas ini yang akhirnya saya satukan untuk bisa lebih jelas dan ringkas untuk dipahami. Sebenarnya sih untuk menghapus bisa aja menggunakan anti virus yang kebanyakan orang pake. Tapi ya sudahlah langsung aja kita bahas cara menghapus virus lewat CMD berikut..
1. Colok Flash Ddisk yg terinfeksi.
2. Lihat di my computer, flash disknya ada di mana ..misal di F:\
3. Start -> run -> ketik cmd
4. Masuk ke direktori flash disk misal direktori ada di F:\
Anda tinggal mengetik "F:" (tanpa kutip)
5. Ketik "attrib" (tanpa kutip)
6. biasanya virus di flash disk punya file yg namanya "autorun.inf" & biasanya attributnya system, hidden, read
only (SHR) untuk melepas attribut itu anda ketik "attrib -s -h -r autorun.inf" (tanpa kutip)
7. setelah attribut terlepas,, baru deh di hapus.."del autorun.inf" (tanpa kutip)
8. Nah sekarang tinggal cari virusnya (yg ini kudu pake naluri,,karena masing-masing virus berbeda namanya.
misal nama virusnya abc.exe
9. Anda ikutin langkah no 6 tadi tapi autorun.inf nya di ganti dengan nama virus trus di hapus pake langkah no
7 (del namavirus.exe)
Remove flash disk dan colokin lagi, kalau masih ada juga berarti komputer anda sudah dihuni oleh virus juga sebelum flash dick anda colokin.
Klik [Start] [Run]
Ketik [cmd]
Matikan proses ”system.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im system.exe], dan tekan enter
Dah cukup sekian dulu..., sampe ketemu di trik berikutnya ya...hehe
- Start>Run>command.exe [utk win 95/98]
- Start>Run>cmd.exe [utk win 2000/xp /nt]
lalu mucul deh command prompt
C:\winnt>netstat
Displays protocol statistics and current TCP/IP network connections.
akan muncul seperti ini:
Sekarang kita gunakan netstat untuk melihat koneksi yang sedang terhubung gunakan -a
Disebelah nama pc itu adalah port yang digunakan untuk hubungan.
netstat diatas mengunakan komputer yang mengunakan ip dhcp .
Disini kita bisa melihat siapa-siapa aja yang terhubung dalam komputer kita atau dengan contoh yang lebih jelas ini . Untuk lebih jelasnya aku akan coba menyusup ke komputer orang lain dengan mengunakan kaht2 cara berikut:
Selanjutnya untuk mengetahui nama komputer yang sedang menyusup ke komputer kita. Gunakan nbtstat -a
Perhatikan hasil diatas ternyata ip 10.21.3.50 nama pc nya adalah me dan dia join ke workgroup. Kita bisa buat kaget orang yang mengintip kita itu gunakan netsend fasiltas yang hanya ada pada win 2000/xp atau nt dengan cara mengirimi penyusup itu pesan. Caranya sbb:
Semoga Berhasil..!!!
3. Download File Berikut Repair
4. Setelah didownload install dengan cara klik kanan repair.inf kemudian klik install
5. Matikan semua aplikasi yang aktif
6. Download Norman Malware Cleaner di alamat berikut http://download.norman.no/public/Norman_Malware_Cleaner.exe
7. Rubah extension Norman Malware Cleaner dari .exe menjadi .cmd Tujuannya adalah agar file removal tsb
Nah kira kira seperti itu langkah yang saya lakukan di komputer saya dan sampai saat ini sudah tidak ada masalah lagi. Kalo nanti ada yang error pasti tak kabarin yo..... Selamat Mencoba dan ingat selalu mengupdate antivirus anda. OK. jangan bersedih kalo banyak file exe anda menjadi sampah n harus download ulang. Temukan dan jaga baik baik yang masih bisa dipake ya. Yang rusak download lagi ajah....
Bagi netter yang komputernya suka terkena virus, mungkin panduan berikut di bawah ini bisa berguna. Secara teori cara ini bisa membunuh 90% yang beredar, hanya virus macro (word, excel) dan virus yang merusak file (extension EXE) yang susah dibersihkan dengan cara ini, walau bisa dicegah penularannya.
Membasmi Virus Dengan Command Windows
Bila netter merasakan komputer terkena virus, trojan dan spyware (dalam hal ini kita kategorikan semuanya sebagai virus aja), yang biasanya dengan indikasi ada tampilan yang tidak biasanya pada desktop, program yang digunakan dan browser. Sebaiknya langsung menempuh langkah berikut ini:
1. Colok Flash Ddisk yg terinfeksi.
>> Pas nyolokin flash disk, langsung tekan+tahan tombol shift kiri untuk menonaktifkan fungsi autorun
kira-kira 5 detik setelah itu lepasin tombolnya.
3. Start -> run -> ketik cmd
4. Masuk ke direktori flash disk misal direktori ada di F:\
Anda tinggal mengetik "F:" (tanpa kutip)
5. Ketik "attrib" (tanpa kutip)
6. biasanya virus di flash disk punya file yg namanya "autorun.inf" & biasanya attributnya system, hidden, read
only (SHR) untuk melepas attribut itu anda ketik "attrib -s -h -r autorun.inf" (tanpa kutip)
7. setelah attribut terlepas,, baru deh di hapus.."del autorun.inf" (tanpa kutip)
8. Nah sekarang tinggal cari virusnya (yg ini kudu pake naluri,,karena masing-masing virus berbeda namanya.
misal nama virusnya abc.exe
9. Anda ikutin langkah no 6 tadi tapi autorun.inf nya di ganti dengan nama virus trus di hapus pake langkah no
7 (del namavirus.exe)
Remove flash disk dan colokin lagi, kalau masih ada juga berarti komputer anda sudah dihuni oleh virus juga sebelum flash dick anda colokin.
ALTERNATIF
Selain menngunakan perintah "attrib" jg bisa menggunakan perintah "taskkill" yg gunanya untuk mematikan proses file, contoh pada kasus virus Kang.O pd tahun 2006 yg berjalan pada system.exeKlik [Start] [Run]
Ketik [cmd]
Matikan proses ”system.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im system.exe], dan tekan enter
Dah cukup sekian dulu..., sampe ketemu di trik berikutnya ya...hehe
Banyak dari kita tidak sadar jika kita main diwarnet bahwa ternyata ada yang sedang memantau kita baik itu adminya atau memang orang iseng yang mau mencuri informasi dari kita, maka disini saya akan coba share sedikit untuk melihat atau mendetiksinya hanya dengan command prompt. Ternyata di Dos ada fasiltas perintah NETSTAT, Windows menyediakan perintah ini untuk mendukung jaringan. Netstat juga bisa digunakan untuk melihat ip-ip yang sedang terhubung ke komputer kita. Untuk itu buka command prompt kamu, caranya :Tips Nembak Komputer Dalam Jaringan LAN
- Start>Run>command.exe [utk win 95/98]
- Start>Run>cmd.exe [utk win 2000/xp /nt]
lalu mucul deh command prompt
C:\winnt>netstat
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
akan muncul seperti ini:
-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with the -s option.
-n Displays addresses and port numbers in numerical form.
-p proto Shows connections for the protocol specified by proto; proto
may be TCP or UDP. If used with the -s option to display
per-protocol statistics, proto may be TCP, UDP, or IP.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics are
shown for TCP, UDP and IP; the -p option may be used to specify
a subset of the default.
interval dedisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.
Sekarang kita gunakan netstat untuk melihat koneksi yang sedang terhubung gunakan -a
C:\winnt>netstat -a
Proto Local Address Foreign Address State
TCP me:http me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:epmap me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:https me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:microsoft-ds me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1025 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1027 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1028 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1071 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1146 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1163 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1253 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1261 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1288 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1306 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1314 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:5101 me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:epmap 10.22.1.236:4504 TIME_WAIT
TCP me:netbios-ssn me.ladomain.lintasarta.co.id:0 LISTENING
TCP me:1071 LAJKTTS02:1080 ESTABLISHED
TCP me:1288 IS~HRS:microsoft-ds ESTABLISHED
TCP me:1306 GREENGUY:microsoft-ds ESTABLISHED
UDP me:1134 *.*
Disebelah nama pc itu adalah port yang digunakan untuk hubungan.
netstat diatas mengunakan komputer yang mengunakan ip dhcp .
Disini kita bisa melihat siapa-siapa aja yang terhubung dalam komputer kita atau dengan contoh yang lebih jelas ini . Untuk lebih jelasnya aku akan coba menyusup ke komputer orang lain dengan mengunakan kaht2 cara berikut:
C:\WINDOWS\System32>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP khs_2003:epmap khs_2003:0 LISTENING
TCP khs_2003:microsoft-ds khs_2003:0 LISTENING
TCP khs_2003:1025 khs_2003:0 LISTENING
TCP khs_2003:1063 khs_2003:0 LISTENING
TCP khs_2003:1093 khs_2003:0 LISTENING
TCP khs_2003:1136 khs_2003:0 LISTENING
TCP khs_2003:1138 khs_2003:0 LISTENING
TCP khs_2003:5000 khs_2003:0 LISTENING
TCP khs_2003:43715 khs_2003:0 LISTENING
TCP khs_2003:epmap 10.21.3.17:3628 TIME_WAIT <------1
TCP khs_2003:epmap 10.21.3.50:1686 FIN_WAIT_2 <------2
TCP khs_2003:netbios-ssn khs_2003:0 LISTENING
TCP khs_2003:1093 10.21.1.18:8080 CLOSE_WAIT
TCP khs_2003:1136 10.21.1.18:8080 ESTABLISHED
TCP khs_2003:1138 10.21.1.18:8080 ESTABLISHED
TCP khs_2003:11196 khs_2003:0 LISTENING
TCP khs_2003:43715 10.21.3.50:1687 ESTABLISHED <------3
UDP khs_2003:microsoft-ds *:*
UDP khs_2003:isakmp *:*
UDP khs_2003:1028 *:*
UDP khs_2003:1035 *:*
UDP khs_2003:ntp *:*
UDP khs_2003:netbios-ns *:*
UDP khs_2003:netbios-dgm *:*
UDP khs_2003:1900 *:*
UDP khs_2003:13715 *:*
UDP khs_2003:61804 *:*
UDP khs_2003:ntp *:*
UDP khs_2003:1032 *:*
UDP khs_2003:1036 *:*
UDP khs_2003:1107 *:*
UDP khs_2003:1134 *:*
UDP khs_2003:1900 *:*
Selanjutnya untuk mengetahui nama komputer yang sedang menyusup ke komputer kita. Gunakan nbtstat -a
C:\WINDOWS\System32>nbtstat -a [ip]
C:\WINDOWS\Syetem32>nbtstat -a 10.21.3.50
Jantung:
Node IpAddress: [10.21.3.50] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
ME <00> UNIQUE Registered
ME <20> UNIQUE Registered
WORKGROUP <00> GROUP Registered
WORKGROUP <1E> GROUP Registered
ME <03> UNIQUE Registered
INet~Services <1C> GROUP Registered
IS~ME..........<00> UNIQUE Registered
MAC Address = 00-60-08-29-37-48
Perhatikan hasil diatas ternyata ip 10.21.3.50 nama pc nya adalah me dan dia join ke workgroup. Kita bisa buat kaget orang yang mengintip kita itu gunakan netsend fasiltas yang hanya ada pada win 2000/xp atau nt dengan cara mengirimi penyusup itu pesan. Caranya sbb:
C:\winnt>net send [ip/nama pc] [pesan]
Semoga Berhasil..!!!
Menghilangkan Virus W32Sality.AE
Disini saya mau bagi bagi caranya kepada teman teman yang mungkin punya kasus yang sama seperti saya mudah mudahan bermanfaat ya :
1. Pastikan tidak terhubung ke Jaringan ( Cabut kabel kabel koneksi )
2. Matikan System Restore ( Start --> Program --> Accesories --> System Tool --> System Restore )3. Download File Berikut Repair
4. Setelah didownload install dengan cara klik kanan repair.inf kemudian klik install
5. Matikan semua aplikasi yang aktif
6. Download Norman Malware Cleaner di alamat berikut http://download.norman.no/public/Norman_Malware_Cleaner.exe
7. Rubah extension Norman Malware Cleaner dari .exe menjadi .cmd Tujuannya adalah agar file removal tsb
tidak diperkosa oleh Sality AE.
8. Lakukan proses scanning menggunakan Norman Malware Cleaner yang extensionnya sudah dirubah
8. Lakukan proses scanning menggunakan Norman Malware Cleaner yang extensionnya sudah dirubah
menjadi Norman Malware Cleaner.cmd
9. Setelah Cleaning selesai Restart Komputer anda.
10. Download File FixReg.rar extract kemudian dieksekusi file yang sesuai dengan operating system
9. Setelah Cleaning selesai Restart Komputer anda.
10. Download File FixReg.rar extract kemudian dieksekusi file yang sesuai dengan operating system
komputer anda.Fungsinya adalah mengembalikan beberapa registry penting yang sudah diobrak abrik
oleh si nona Sality
11. Restart Komputer anda dan periksa kesehatannya ( Task manager, Regedit, dsb)
12. Untuk lebih meyakinkan, lakukan scanning pada safe mode agar benar benar bersih dari noda si nona
11. Restart Komputer anda dan periksa kesehatannya ( Task manager, Regedit, dsb)
12. Untuk lebih meyakinkan, lakukan scanning pada safe mode agar benar benar bersih dari noda si nona
Sality
Nah kira kira seperti itu langkah yang saya lakukan di komputer saya dan sampai saat ini sudah tidak ada masalah lagi. Kalo nanti ada yang error pasti tak kabarin yo..... Selamat Mencoba dan ingat selalu mengupdate antivirus anda. OK. jangan bersedih kalo banyak file exe anda menjadi sampah n harus download ulang. Temukan dan jaga baik baik yang masih bisa dipake ya. Yang rusak download lagi ajah....
Membasmi Virus, Trojan & Spyware Secara Manual
Threads ini ditujukan untuk membasmi virus-virus baru dan virus Indo yang tidak terdeteksi oleh antivirus yang dipakai pada komputer. Dan juga buat yang bete kalau harus scan komputer cari virus berjam-jam padahal dengan cara ini paling 10 menit beres. Semoga bisa berguna dan bermanfaat.Bagi netter yang komputernya suka terkena virus, mungkin panduan berikut di bawah ini bisa berguna. Secara teori cara ini bisa membunuh 90% yang beredar, hanya virus macro (word, excel) dan virus yang merusak file (extension EXE) yang susah dibersihkan dengan cara ini, walau bisa dicegah penularannya.
Membasmi Virus Dengan Command Windows
Bila netter merasakan komputer terkena virus, trojan dan spyware (dalam hal ini kita kategorikan semuanya sebagai virus aja), yang biasanya dengan indikasi ada tampilan yang tidak biasanya pada desktop, program yang digunakan dan browser. Sebaiknya langsung menempuh langkah berikut ini:
1. Tahap Pertama, Matikan Virus di Memori
Tekan Ctrl + Alt + Del untuk menampilan Windows Task Manager - Lalu ke bagian "Processes", terus
klik bagian "User Name" untuk mengurutkan file yang diproses pada memori. Setelah itu, lihat ada bagian
yang mencurigakan atau tidak. Bila banyak yang di-loading pada memori, sebaiknya dimatikan dahulu
startup yang otomatis ter-loading pada bagian bawah kanan (ikon speaker dan jam). Matikan semua
ikon-ikon tersebut dengan cara "quit" atau "exit" dari programnya.
Loading virus ke memori biasanya berupa EXE file. Langkah ini untuk mencegah virus untuk menyebar
Loading virus ke memori biasanya berupa EXE file. Langkah ini untuk mencegah virus untuk menyebar
terlebih dahulu lewat memori kita. Matikan semua file EXE yang loading di memori kita yang sudah kita
urutkan sebelumnya berdasarkan "User Name". Jangan mematikan file yang kategori "System", "Local
Service", dan "Network Service", karena bisa membuat sistem kita Hang atau Freeze.
2. Tahap Kedua, Non-aktifkan Virus di Startup
Untuk menon-aktifkan virus supaya tidak terloading ke memori, kita harus membuangnya di startup.
2. Tahap Kedua, Non-aktifkan Virus di Startup
Untuk menon-aktifkan virus supaya tidak terloading ke memori, kita harus membuangnya di startup.
Caranya kita bisa menggunakan perintah MSCONFIG, klik menu Start>Run>msconfig - setelah itu akan
tampil "System Configuration Utility". Lalu pilihlah "Startup", dalam kasus ini sebaiknya netter yang tidak
mengerti mana yang loading virus mana yang bukan, sebaiknya pilih "Disable All". Nantinya netter baru
aktifkan kembali startup yang diinginkan kalau virus sudah bersih.
Bila netter yang mengerti file yang loading mana file yang diperlukan, dan mana yang tidak, atau mana yang
Bila netter yang mengerti file yang loading mana file yang diperlukan, dan mana yang tidak, atau mana yang
virus atau bukan, sebaiknya menbuang conteng (check box) pada kotak bagian kiri untuk yang dicurigai
sebagai virus. Cara ini akan menonaktifkan virus di startup kita.
3. Tahap Ketiga, Hapus File Virus dari Komputer
Carilah dengan menggunakan fasilitas "search" pada WIndows, klik menu Start>Search, lalu carilah file
3. Tahap Ketiga, Hapus File Virus dari Komputer
Carilah dengan menggunakan fasilitas "search" pada WIndows, klik menu Start>Search, lalu carilah file
EXE virus (contoh: Happy.exe) yang sebelumnya loading di memori atau startup. File ini biasanya disimpan
oleh pembuatnya di bagian folder Windows atau System32 dari WIndows. Setelah ditemukan, delete atau
hapus file tersebut.
4. Tahap Keempat, Hapus Virus dari System Registry
Tahap ini adalah tahap terakhir. Kita harus menggunakan perintah REGEDIT untuk mengubah dan
4. Tahap Keempat, Hapus Virus dari System Registry
Tahap ini adalah tahap terakhir. Kita harus menggunakan perintah REGEDIT untuk mengubah dan
men-delete virus dari registry kita. Pilihlah Start>Run>regedit - lalu ke menu "Edit" pilihlah "Find" (atau
tekan Ctrl+F). Masukkan nama file virus yang ingin kita hapus (contoh: Happy.exe), lalu pilih "Find Next".
Apabila ditemukan file virus, hapuslah semua registry yang memuat virus tersebut (berikut dengan foldernya
kalau ada).
Kemudian lanjutkan dengan menekan tombol "F3" atau di menu pilih "Edit" terus "Find Next". Biasanya file virus diletakkan pada beberapa tempat di registry. Jadi pastikan netter menghapus semuanya sampai bersih, dalam arti registry komputer bebas dari loading virus tersebut. Karena kalau tidak pekerjaan ini akan sia-sia.
Membasmi Virus Dengan Bantuan Program Lain
Ada beberapa tools yang sangat berguna bagi netter untuk mempermudah pembasmian virus, antara lain:
CProcess - Tools ini fungsinya seperti "Windows Task Manager" (Ctrl + Alt +Del). Tools ini sangat bagus sekali untuk mengenali mana yang virus atau bukan karena mengandung informasi detil mengenai file yang terloading di memori. Seperti contoh file yang benar (bukan virus) selalu tertulis nama perusahaan pembuatnya (contoh: Windows buatan Microsoft Corp).
Hijack This - Tools yang sangat bagus sekali sebagai pengganti command MSCONFIG. Sering kali virus mematikan hak akses kita terhadap MSCONFIG supaya kita tidak bisa menghapus file virus yang ter-loading ketika Startup. Nah program ini berfungsi untuk menggantikan MSCONFIG yang tidak bisa aktif. Selain itu program ini bisa mendeteksi lebih mendetil seperti spyware yang inject di dalam browser kita (BHO), dan bisa menonaktifkannya..
CCleaner - Tools yang satu ini selain berguna untuk menggantikan command REGEDIT, juga bisa membersihkan virus di registry secara otomatis. Selain itu CCleaner juga bisa mempercepat akses Windows kamu dengan membersihkan semua sampah-sampah di dalam registry kamu.
PCMAV - Program antivirus buatan PC Media ini terbukti sangat ampuh untuk menghapus virus-virus Indo yang kadang-kadang suka rese.
AVG 8 Free Edition - Program antivirus gratis yang sangat powerful untuk mengatasi virus dari luar negeri.
Kita butuh sedikit matematik dan kejelian mata disini. Protectionnya software ini lumayan juga walau tidak sangat special, tapi jelas ini belum pernah gua tulis di tutorial sebelumnya, jadi gua harap elu juga bisa sedikit belajar dari tutorial ini. Protection software ini berupa unlocking code, jangan salah unlocking code beda dengan tipe registration + user name. Disini tidak ada username, elu harus masukin murni semacam kode pengaktif, dan memang IMHO tipe ini lebih sulit dibanding dengan tipe UN/SN
Tipe Unlocking Code agak lebih sulit karena hal hal berikut :
Secara logika, program tidak mungkin mempunyai sesuatu untuk diutak utik menjadi *magic* serial number, seperti tipe UN/SN. Ada 2 cara umum untuk program mengenerate unlocking code, yakni : program sudah memiliki sendiri serial yang dihardcode siap untuk dibandingkan, seperti pada tutorial "SvetChrista" yang sudah gua tulis beberapa waktu lalu. Software ini sudah amat sangat teramat jarang ada, berhubung programmer juga makin berkembang. Lagipula dengan system begitu, serial number hanya ada 1/ beberapa saja. Cara kedua, dengan menggenerate sebagian dari unlocking code, dan dari sini jadilan UC yang utuh, sebagai contoh : gua membuat program yang meminta user memasukkan UC yang terdiri dari 13 angka, dimana karakter ke 7 adalah "-". Dan gua membuat ketentuan begini, 6 angka pertama*2 = 6 angka terakhir, jika sama maka itulah serial yang benar ! Please elu jangan dengan begonya make rutin diatas untuk software berharga bikinan elu, hehehehe :) Dengan cara kedua, gua mempunyai kombinasi UC yang luar biasa banyaknya
teknik pertama yang akan gua pakai, adalah teknik deadlisting, teknik yang diajarkan oleh Chupacabra, salah seorang cracker di kelompok kami, baca tutorialnya beberapa waktu lalu jika elu belum tahu apa itu deadlist !
Buat deadlist, dan seperti biasa pilih menu Help dan register. Masukkan sembarang UC, kita toh cuman akan melihat pesan errornya, Invalid xxxx, sorry ngak inget apa itu xxxx, gua cuman inget ada invalidnya.
Cari pesan ini di dalam deadlisting, gunakan fungsi find text, yang berlogo seperti senter di Wdasm. kamu akan menemukan beberapa buah "Invalid xxxx" tsb. Jangan bingung menentukan yang mana, dan elu ngak perlu nyoba nyoba segala :)
Jalankan kembali ClipCache, register, dan sebelum Ok, pasang breakpoint di API messageboxa , sekarang teken OK, kamu akan kembali ke SoftIce tercinta, kita masih ada di kernel, teken F12, kamu kembali ke ClipCache, dengan pesen error "invalid xxx" yang sudah siap menanti kamu, teken OK, Boom, balik lagi deh ke SI :)
Ok, kita akan berada di badan program ClipCache, lihat di deadlist daerah tersebut, lihat hmm, ada Call reference diatasnya, maka kembali di SI, teken F12, kalo ngak salah 2 kali, sampai kamu ada di kode berikut :
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00413B2B(C)
|
* Possible Reference to Menu: MenuID_0090
|
* Possible Reference to String Resource ID=00144: "Invalid code."
|
:00413B54 6890000000 push 00000090
:00413B59 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B5D E8D5EC0100 call 00432837
" Tampilkan messageboxa yang berisi pesan sponsor, Invalid Code"
" Kamu akan mendarat di kode di bawah "
:00413B62 8B542404 mov edx, dword ptr [esp+04]
Sekarang elu udah tahu khan Invalid kode yang mana yang dipake ? Kembali ke deadlist, sekarang lihat di atas Invalid Code, akan ada Conditional Jump Reference. Hmmm, ini titik kelemahan yang bagus ! Lihat pada offset 00413B2B disitu akan ada conditional jump.
* Possible Reference to String Resource ID=00001: "New File..."
|
:00413B05 6A01 push 00000001
:00413B07 8BCE mov ecx, esi
:00413B09 C644243001 mov [esp+30], 01
:00413B0E E8B3D40100 call 00430FC6
:00413B13 8B465C mov eax, dword ptr [esi+5C]
:00413B16 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B1A 50 push eax
:00413B1B E8AD9B0100 call 0042D6CD
:00413B20 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B24 E8C7FCFFFF call 004137F0
:00413B29 85C0 test eax, eax
:00413B2B 7427 je 00413B54
" lihat di atas ! Program akan melihat jika hasil dari call di 00413B24 membawa kembali eax=0, maka Invalid Code, selainnya Thanx 4 registering. "
* Possible Reference to String Resource ID=00145: "Thank you for registering."
|
:00413B2D 6891000000 push 00000091
:00413B32 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B36 E8FCEC0100 call 00432837
:00413B3B 8B4C2404 mov ecx, dword ptr [esp+04]
* Possible Reference to String Resource ID=00064: "Text"
|
:00413B3F 6A40 push 00000040
:00413B41 6A00 push 00000000
:00413B43 51 push ecx
:00413B44 8BCE mov ecx, esi
:00413B46 E8DE540200 call 00439029
:00413B4B 8BCE mov ecx, esi
:00413B4D E845A90100 call 0042E497
:00413B52 EB1E jmp 00413B72
Sekarang apa taktik kita ? Gampang ajah, kita musti meneliti ke dalam call tersebut. Masuk ke dalam call, teken tanda panah kanan.
* Referenced by a CALL at Addresses:
|:004138B3 , :00413B24
|
" Perhatikan, bahwa rutin ini dipanggil 2 kali, di 004138B3 dan di 00413B24, ini berarti jika kamu seorang newbie, dan tidak ingin susah susah, kamu hanya perlu merubah conditional jump di 00413B2B, katakanlah dengan meng-nop conditional jump itu, dan jangan lupa merubah pula conditional jump di bawah offset 004138B3 ! Ini karena program memeriksa 2 kali UCnya, pada waktu dimasukkan dan kemungkinan besar pada waktu program dijalankan."
:004137F0 83EC0C sub esp, 0000000C
:004137F3 53 push ebx
:004137F4 55 push ebp
:004137F5 56 push esi
:004137F6 57 push edi
:004137F7 8BF9 mov edi, ecx
:004137F9 C644241000 mov [esp+10], 00
:004137FE C644241100 mov [esp+11], 00
:00413803 C644241200 mov [esp+12], 00
:00413808 8B07 mov eax, dword ptr [edi]
:0041380A C644241300 mov [esp+13], 00
:0041380F 33F6 xor esi, esi
:00413811 33ED xor ebp, ebp
:00413813 8B48F8 mov ecx, dword ptr [eax-08]
" Perhatikan bahwa ecx, akan membawa kembali PANJANG dari unlocking code"
* Possible Reference to String Resource ID=00001: "New File..."
|
:00413816 BB01000000 mov ebx, 00000001
:0041381B 83F911 cmp ecx, 00000011
" Bandingkan apakah panjang UC = 11h/17d ? "
:0041381E 7402 je 00413822
" lompat jika sama !, jika tidak lanjutkan !"
:00413820 33DB xor ebx, ebx
"ini rutin nakal !, bagaimana gua tahu perintah di atas adalah rutin yang seharusnya di hindari ? gampang, seharusnya elu pake logika aja juga bisa, tapi kalau mau pengetahuan pastinya, lihat ada xor ebx, ebx -->> ini berarti mengnolkan ebx. Trace rutin selanjutnya"
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041381E(C)
|
:00413822 85DB test ebx, ebx
"Perhatikan test ebx,ebx"
:00413824 747C je 004138A2
"lompat ke 004138A2, jika ebx = 0 ! Sekarang kita lihat sebentar apa yang ada di offsett tersebut"
------------------------
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00413824(C), :00413829(C)
|
:004138A2 5F pop edi
:004138A3 5E pop esi
:004138A4 8BC3 mov eax, ebx
" Nah, ini dia, berhubung tadi ebx kalau panjang <> dengan 11h, maka ebx akan dinolkan dan lihat ! disini ebx akan dicopy ke eax, eax akan bernilai 0, tentu kamu tahu kalau eax=0 maka program akan menampilkan Invalid Code"
:004138A6 5D pop ebp
:004138A7 5B pop ebx
:004138A8 83C40C add esp, 0000000C
:004138AB C3 ret
---------------------
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004138A0(C)
|
:00413826 83FE11 cmp esi, 00000011
:00413829 7D77 jge 004138A2
:0041382B 83FE08 cmp esi, 00000008
:0041382E 7511 jne 00413841
:00413830 8B0F mov ecx, dword ptr [edi]
* Possible Reference to String Resource ID=00009: "The current size of the data file is %1 bytes.
Compaction wi"
|
:00413832 BE09000000 mov esi, 00000009
:00413837 8079082D cmp byte ptr [ecx+08], 2D
:0041383B 7461 je 0041389E
:0041383D 33DB xor ebx, ebx
:0041383F EB5D jmp 0041389E
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041382E(C)
|
:00413841 8B07 mov eax, dword ptr [edi]
:00413843 8BCE mov ecx, esi
:00413845 46 inc esi
:00413846 8A1401 mov dl, byte ptr [ecx+eax]
:00413849 8BCE mov ecx, esi
:0041384B 88542410 mov byte ptr [esp+10], dl
:0041384F 8D542410 lea edx, dword ptr [esp+10]
:00413853 8A0401 mov al, byte ptr [ecx+eax]
:00413856 8D4C2418 lea ecx, dword ptr [esp+18]
:0041385A 51 push ecx
* Possible StringData Ref from Data Obj ->"%x"
|
:0041385B 682C974600 push 0046972C
:00413860 52 push edx
:00413861 46 inc esi
:00413862 8844241E mov byte ptr [esp+1E], al
:00413866 E8152F0000 call 00416780
:0041386B 83C40C add esp, 0000000C
:0041386E 8D442414 lea eax, dword ptr [esp+14]
:00413872 8D4C2412 lea ecx, dword ptr [esp+12]
:00413876 50 push eax
* Possible StringData Ref from Data Obj ->"%x"
|
:00413877 682C974600 push 0046972C
:0041387C 51 push ecx
:0041387D E8FE2E0000 call 00416780
:00413882 8B442420 mov eax, dword ptr [esp+20]
:00413886 8B4C2424 mov ecx, dword ptr [esp+24]
:0041388A 8BD0 mov edx, eax
:0041388C 83C40C add esp, 0000000C
:0041388F 2BD5 sub edx, ebp
:00413891 83E20F and edx, 0000000F
:00413894 3854390C cmp byte ptr [ecx+edi+0C], dl --->>> Protectionnya disini, kamu harus menyamakan apa yang ada di ecx+edi+0c, dimana ecx adalah bagian tertentu dari serial kamu !!!
:00413898 7402 je 0041389C --- >>> Lompat kalau sama !!! , kalau engga Bad cracker !!!
:0041389A 33DB xor ebx, ebx --->>> kalau kamu memilih metode patch patch disini adalah metode terbaik, ganti dengan nop nop.
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00413898(C)
|
:0041389C 8BE8 mov ebp, eax
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0041383B(C), :0041383F(U)
|
:0041389E 85DB test ebx, ebx --->>> test ebx, jika 0 unregistered, jika 1 registered user !!!
:004138A0 7584 jne 00413826
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00413824(C), :00413829(C)
|
:004138A2 5F pop edi
:004138A3 5E pop esi
:004138A4 8BC3 mov eax, ebx
:004138A6 5D pop ebp
:004138A7 5B pop ebx
:004138A8 83C40C add esp, 0000000C
:004138AB C3 ret
Source: flag eRRatum
Kasusnya begini:
Mr X (misal) seorang yang maniak sekali dengan facebook, dimana setiap hari dia bermain game terutama POKER, bersosialisasi, dan bahkan berbisnis melalui facebook. Suatu saat dimana pekerjaannya menumpuk Mr X tidak sempat membuka facebook. Padahal facebook seperti obat baginya yang musti dimakan (eh dibuka) 3 kali sehari. Setelah melawati minggu yang berat dimana pekerjaan menumpuk hingga akhirnya selesai, Anjar mempunyai waktu untuk membuka facebook. Tapi ternyata ada hal yang aneh. Id login facebooknya (email) dinyatakan tidak valid?
Setelah diselidiki lebih lanjut dan terungkaplah kejahatan seorang yang mencuri CHIP POKER dengan melakukan berbagai cara (spt Memanfaatkan kelemahan email, pishing, fakelogin, dll masih banyak cara) dan mengganti id login (email) Mr X dengan id login lain yang bukan miliknya.
Alangkah sedihnya Mr X saat dia tau akun FB nya gak bisa di login karena di sana terdapat sekitar $ 37M chip poker nya.
Nah Begitu ceritanya..., mari kita lanjut membahas keamanan Email dan Akun FB:
"Dengan email yang aman maka facebook Anda akan aman"
Dalam arti bedakan password email dengan password facebook dan pastikan email yang digunakan untuk facebook benar-benar aman . Jika id facebook Anda dicuri dan diganti dengan email lain maka silakan saja akses email Anda dan cari email yang berjudul "Facebook Contact Email Change Notification" dan klik link panjang yang merupakan pembatalan perubahan email.
Setelah melakukan pembatalan perubahan email Anda akan dikirimi "Facebook Password Reset Confirmation" yang menyuruh anda untuk mengganti password. Ingat ! password yang lama tidak bisa dipakai lagi karena masalah keamanan.
"Intinya facebook akan memberikan konfirmasi pergantian email ke email yang sebelumnya dipakai sebagai email pendaftaran facebook untuk menghindari pencurian akun"
Dika Email gak bisa di akses, atau diambil alih juga sama pemilik lain gunakan cara "Forgote Password" pada email anda dan anda akan di suguhi 2 pilihan yaitu melalui Email alternatif dan 2 Pertanyaan Keamanan Privacy...
==> Dan jika semua diatas tidak bisa dilakukan, gunakan laporan di "HELP" pada situs facebook.com untuk membuktikan kalau anda adalah pemilik akun tersebut...
NB:
= Belakangan ini banyak bermunculan aplikasi baru di facebook dan telah menyelipkan script auto untuk merekam apa yang kita jalani di browsing kita.., di harapkan agar hati-hati dalam menggunakan Aplikasi di facebook.com
= Gunakan akun FB ganda: 1 untuk bersosialisasi dan 1 untuk menggunakan layanan game (poker terutama) karena banyak orang melakukan hal pembobolan karena ingin memiliki(mencuri) chip poker...
Mencegah Facebook anda dari Cracker( karna bukan hacker namanya KLo Mengrusak apa lagi KLo copy dan paste )
1.> password email anda tidak boleh sama dengan password facebook anda, supaya klo ke hack, FB anda Masih Bisa Kembali
2.> Setiap masuk ke Facebook, tolong di perhatikan di bagian linknya
apakah facebook yang anda Tuju benar atau salah
nah ini contoh yang benar: http://www.facebook.com/
3.> sembunyikan email anda ( cara untuk menyembunyikan email:
- masuk ke pengaturan privasi
- pilih menu informasi kontak
- nah pada bagian paling bawah (tepatnya pada alamat email) , anda klik pilihan pas disamping kanan ganti dengan " Hanya Saya "
4.> nah klo berhubung dengan POKER. nah kamu jangan lihat lihat juga klo ada yang kirimkan kamu link dari zynga
link zynga yang bener adalah : http://www.zynga.com
nah klo ada embel embelnya di belakang http://www.zynga.com.ihefefeukfk/ atau http://www.zynga.blablabla.com/ atau http://www.zynga/."link aneh Cracker".com
ini berarti situs palsu para hacker copy paste
5.> klo login di warkop atau memakai akses wiffi yang tidak aman, tolong setiap kali anda mau keluar dari situ, ubah password anda ( ribet memang tapi demi keamanan ) karna ada Program untuk menyerap password seperti CAIN AND HABEL
6.> password email atau facebook anda di sarankan memakai huruf yang aneh : contoh password yang baik : ("r3ndyr3ndyr3ndyr3ndyt4mpan!@#$%^&*()_+") atau memakai tanda spasi : r3ndy r3ndy !@#
dijamin hacker atau cracker bakalan BOTAK nungguin password kamu
7.> klo kalian main di warnet ada baiknya kamu restart dulu komputernya, nah klo uda restart kamu login billing jangan buka dulu facebook kamu
wajib kamu untuk menekan TOMBOL :
CTRL+SHIFT+ALT+K (>K< bisa diganti, coba aja CTRL+SHIFT+ALT+tekan semua tombol di keyboard satu persatu.
nah klo muncul permintaan pengisian password, kamu ada baiknya keluar dari warnet BUSUK itu. dan jangan kembali lagi ke warnet itu sebab ada yang memasang program KEYLOGER
progam tersebut menyadap semua yang kita lakukan di dalam komputer tersebut.
8.> untuk bagian Localhost" sapa tau ada op warnet atau yang punya warnet kurang ajar"
nah kamu buka FB kamu, isi dengan email sembarangan dengan password sembarangan
nah klo dia masuk ke menu Login yang error baru kamu masukkan password dan username ( email ) kamu yang benar
==> ini dulu ya, capek saya menulis dan nyusun ulang dari hasil survei dan pengetahuan sendiri yang saya kompilasi...
Kemudian lanjutkan dengan menekan tombol "F3" atau di menu pilih "Edit" terus "Find Next". Biasanya file virus diletakkan pada beberapa tempat di registry. Jadi pastikan netter menghapus semuanya sampai bersih, dalam arti registry komputer bebas dari loading virus tersebut. Karena kalau tidak pekerjaan ini akan sia-sia.
Membasmi Virus Dengan Bantuan Program Lain
Ada beberapa tools yang sangat berguna bagi netter untuk mempermudah pembasmian virus, antara lain:
CProcess - Tools ini fungsinya seperti "Windows Task Manager" (Ctrl + Alt +Del). Tools ini sangat bagus sekali untuk mengenali mana yang virus atau bukan karena mengandung informasi detil mengenai file yang terloading di memori. Seperti contoh file yang benar (bukan virus) selalu tertulis nama perusahaan pembuatnya (contoh: Windows buatan Microsoft Corp).
Hijack This - Tools yang sangat bagus sekali sebagai pengganti command MSCONFIG. Sering kali virus mematikan hak akses kita terhadap MSCONFIG supaya kita tidak bisa menghapus file virus yang ter-loading ketika Startup. Nah program ini berfungsi untuk menggantikan MSCONFIG yang tidak bisa aktif. Selain itu program ini bisa mendeteksi lebih mendetil seperti spyware yang inject di dalam browser kita (BHO), dan bisa menonaktifkannya..
CCleaner - Tools yang satu ini selain berguna untuk menggantikan command REGEDIT, juga bisa membersihkan virus di registry secara otomatis. Selain itu CCleaner juga bisa mempercepat akses Windows kamu dengan membersihkan semua sampah-sampah di dalam registry kamu.
PCMAV - Program antivirus buatan PC Media ini terbukti sangat ampuh untuk menghapus virus-virus Indo yang kadang-kadang suka rese.
AVG 8 Free Edition - Program antivirus gratis yang sangat powerful untuk mengatasi virus dari luar negeri.
Teknik Permainan Memory
Nama softwarenya adalah ClipCache 2.0 , sebelum versi 2.0 programmernya ngasih ini software gratis, dan sekarang versi 2.0 udah berubah jadi shareware. ClipCache, seperti yang udah elu duga, adalah software yang digunakan untuk mengadvancekan copy dan paste pada Windolls 9x, yang emang gua akuin terbatas banget alias JELEK :) ClipCache sangking hebatnya, bahkan bisa menyimpan clipboard, selama berhari hari. Software ini bekerja di belakang, dan akan memonitor clipboard. Interfacenya juga sangat bagus dan sederhana. Praktis beginner sekalipun seharusnya bisa menggunakan software ini asal. RTFM (Read the FUCKING Manual !)
Kita butuh sedikit matematik dan kejelian mata disini. Protectionnya software ini lumayan juga walau tidak sangat special, tapi jelas ini belum pernah gua tulis di tutorial sebelumnya, jadi gua harap elu juga bisa sedikit belajar dari tutorial ini. Protection software ini berupa unlocking code, jangan salah unlocking code beda dengan tipe registration + user name. Disini tidak ada username, elu harus masukin murni semacam kode pengaktif, dan memang IMHO tipe ini lebih sulit dibanding dengan tipe UN/SN
Tipe Unlocking Code agak lebih sulit karena hal hal berikut :
Secara logika, program tidak mungkin mempunyai sesuatu untuk diutak utik menjadi *magic* serial number, seperti tipe UN/SN. Ada 2 cara umum untuk program mengenerate unlocking code, yakni : program sudah memiliki sendiri serial yang dihardcode siap untuk dibandingkan, seperti pada tutorial "SvetChrista" yang sudah gua tulis beberapa waktu lalu. Software ini sudah amat sangat teramat jarang ada, berhubung programmer juga makin berkembang. Lagipula dengan system begitu, serial number hanya ada 1/ beberapa saja. Cara kedua, dengan menggenerate sebagian dari unlocking code, dan dari sini jadilan UC yang utuh, sebagai contoh : gua membuat program yang meminta user memasukkan UC yang terdiri dari 13 angka, dimana karakter ke 7 adalah "-". Dan gua membuat ketentuan begini, 6 angka pertama*2 = 6 angka terakhir, jika sama maka itulah serial yang benar ! Please elu jangan dengan begonya make rutin diatas untuk software berharga bikinan elu, hehehehe :) Dengan cara kedua, gua mempunyai kombinasi UC yang luar biasa banyaknya
teknik pertama yang akan gua pakai, adalah teknik deadlisting, teknik yang diajarkan oleh Chupacabra, salah seorang cracker di kelompok kami, baca tutorialnya beberapa waktu lalu jika elu belum tahu apa itu deadlist !
Buat deadlist, dan seperti biasa pilih menu Help dan register. Masukkan sembarang UC, kita toh cuman akan melihat pesan errornya, Invalid xxxx, sorry ngak inget apa itu xxxx, gua cuman inget ada invalidnya.
Cari pesan ini di dalam deadlisting, gunakan fungsi find text, yang berlogo seperti senter di Wdasm. kamu akan menemukan beberapa buah "Invalid xxxx" tsb. Jangan bingung menentukan yang mana, dan elu ngak perlu nyoba nyoba segala :)
Jalankan kembali ClipCache, register, dan sebelum Ok, pasang breakpoint di API messageboxa , sekarang teken OK, kamu akan kembali ke SoftIce tercinta, kita masih ada di kernel, teken F12, kamu kembali ke ClipCache, dengan pesen error "invalid xxx" yang sudah siap menanti kamu, teken OK, Boom, balik lagi deh ke SI :)
Ok, kita akan berada di badan program ClipCache, lihat di deadlist daerah tersebut, lihat hmm, ada Call reference diatasnya, maka kembali di SI, teken F12, kalo ngak salah 2 kali, sampai kamu ada di kode berikut :
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00413B2B(C)
|
* Possible Reference to Menu: MenuID_0090
|
* Possible Reference to String Resource ID=00144: "Invalid code."
|
:00413B54 6890000000 push 00000090
:00413B59 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B5D E8D5EC0100 call 00432837
" Tampilkan messageboxa yang berisi pesan sponsor, Invalid Code"
" Kamu akan mendarat di kode di bawah "
:00413B62 8B542404 mov edx, dword ptr [esp+04]
Sekarang elu udah tahu khan Invalid kode yang mana yang dipake ? Kembali ke deadlist, sekarang lihat di atas Invalid Code, akan ada Conditional Jump Reference. Hmmm, ini titik kelemahan yang bagus ! Lihat pada offset 00413B2B disitu akan ada conditional jump.
* Possible Reference to String Resource ID=00001: "New File..."
|
:00413B05 6A01 push 00000001
:00413B07 8BCE mov ecx, esi
:00413B09 C644243001 mov [esp+30], 01
:00413B0E E8B3D40100 call 00430FC6
:00413B13 8B465C mov eax, dword ptr [esi+5C]
:00413B16 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B1A 50 push eax
:00413B1B E8AD9B0100 call 0042D6CD
:00413B20 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B24 E8C7FCFFFF call 004137F0
:00413B29 85C0 test eax, eax
:00413B2B 7427 je 00413B54
" lihat di atas ! Program akan melihat jika hasil dari call di 00413B24 membawa kembali eax=0, maka Invalid Code, selainnya Thanx 4 registering. "
* Possible Reference to String Resource ID=00145: "Thank you for registering."
|
:00413B2D 6891000000 push 00000091
:00413B32 8D4C2408 lea ecx, dword ptr [esp+08]
:00413B36 E8FCEC0100 call 00432837
:00413B3B 8B4C2404 mov ecx, dword ptr [esp+04]
* Possible Reference to String Resource ID=00064: "Text"
|
:00413B3F 6A40 push 00000040
:00413B41 6A00 push 00000000
:00413B43 51 push ecx
:00413B44 8BCE mov ecx, esi
:00413B46 E8DE540200 call 00439029
:00413B4B 8BCE mov ecx, esi
:00413B4D E845A90100 call 0042E497
:00413B52 EB1E jmp 00413B72
Sekarang apa taktik kita ? Gampang ajah, kita musti meneliti ke dalam call tersebut. Masuk ke dalam call, teken tanda panah kanan.
* Referenced by a CALL at Addresses:
|:004138B3 , :00413B24
|
" Perhatikan, bahwa rutin ini dipanggil 2 kali, di 004138B3 dan di 00413B24, ini berarti jika kamu seorang newbie, dan tidak ingin susah susah, kamu hanya perlu merubah conditional jump di 00413B2B, katakanlah dengan meng-nop conditional jump itu, dan jangan lupa merubah pula conditional jump di bawah offset 004138B3 ! Ini karena program memeriksa 2 kali UCnya, pada waktu dimasukkan dan kemungkinan besar pada waktu program dijalankan."
:004137F0 83EC0C sub esp, 0000000C
:004137F3 53 push ebx
:004137F4 55 push ebp
:004137F5 56 push esi
:004137F6 57 push edi
:004137F7 8BF9 mov edi, ecx
:004137F9 C644241000 mov [esp+10], 00
:004137FE C644241100 mov [esp+11], 00
:00413803 C644241200 mov [esp+12], 00
:00413808 8B07 mov eax, dword ptr [edi]
:0041380A C644241300 mov [esp+13], 00
:0041380F 33F6 xor esi, esi
:00413811 33ED xor ebp, ebp
:00413813 8B48F8 mov ecx, dword ptr [eax-08]
" Perhatikan bahwa ecx, akan membawa kembali PANJANG dari unlocking code"
* Possible Reference to String Resource ID=00001: "New File..."
|
:00413816 BB01000000 mov ebx, 00000001
:0041381B 83F911 cmp ecx, 00000011
" Bandingkan apakah panjang UC = 11h/17d ? "
:0041381E 7402 je 00413822
" lompat jika sama !, jika tidak lanjutkan !"
:00413820 33DB xor ebx, ebx
"ini rutin nakal !, bagaimana gua tahu perintah di atas adalah rutin yang seharusnya di hindari ? gampang, seharusnya elu pake logika aja juga bisa, tapi kalau mau pengetahuan pastinya, lihat ada xor ebx, ebx -->> ini berarti mengnolkan ebx. Trace rutin selanjutnya"
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041381E(C)
|
:00413822 85DB test ebx, ebx
"Perhatikan test ebx,ebx"
:00413824 747C je 004138A2
"lompat ke 004138A2, jika ebx = 0 ! Sekarang kita lihat sebentar apa yang ada di offsett tersebut"
------------------------
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00413824(C), :00413829(C)
|
:004138A2 5F pop edi
:004138A3 5E pop esi
:004138A4 8BC3 mov eax, ebx
" Nah, ini dia, berhubung tadi ebx kalau panjang <> dengan 11h, maka ebx akan dinolkan dan lihat ! disini ebx akan dicopy ke eax, eax akan bernilai 0, tentu kamu tahu kalau eax=0 maka program akan menampilkan Invalid Code"
:004138A6 5D pop ebp
:004138A7 5B pop ebx
:004138A8 83C40C add esp, 0000000C
:004138AB C3 ret
---------------------
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004138A0(C)
|
:00413826 83FE11 cmp esi, 00000011
:00413829 7D77 jge 004138A2
:0041382B 83FE08 cmp esi, 00000008
:0041382E 7511 jne 00413841
:00413830 8B0F mov ecx, dword ptr [edi]
* Possible Reference to String Resource ID=00009: "The current size of the data file is %1 bytes.
Compaction wi"
|
:00413832 BE09000000 mov esi, 00000009
:00413837 8079082D cmp byte ptr [ecx+08], 2D
:0041383B 7461 je 0041389E
:0041383D 33DB xor ebx, ebx
:0041383F EB5D jmp 0041389E
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041382E(C)
|
:00413841 8B07 mov eax, dword ptr [edi]
:00413843 8BCE mov ecx, esi
:00413845 46 inc esi
:00413846 8A1401 mov dl, byte ptr [ecx+eax]
:00413849 8BCE mov ecx, esi
:0041384B 88542410 mov byte ptr [esp+10], dl
:0041384F 8D542410 lea edx, dword ptr [esp+10]
:00413853 8A0401 mov al, byte ptr [ecx+eax]
:00413856 8D4C2418 lea ecx, dword ptr [esp+18]
:0041385A 51 push ecx
* Possible StringData Ref from Data Obj ->"%x"
|
:0041385B 682C974600 push 0046972C
:00413860 52 push edx
:00413861 46 inc esi
:00413862 8844241E mov byte ptr [esp+1E], al
:00413866 E8152F0000 call 00416780
:0041386B 83C40C add esp, 0000000C
:0041386E 8D442414 lea eax, dword ptr [esp+14]
:00413872 8D4C2412 lea ecx, dword ptr [esp+12]
:00413876 50 push eax
* Possible StringData Ref from Data Obj ->"%x"
|
:00413877 682C974600 push 0046972C
:0041387C 51 push ecx
:0041387D E8FE2E0000 call 00416780
:00413882 8B442420 mov eax, dword ptr [esp+20]
:00413886 8B4C2424 mov ecx, dword ptr [esp+24]
:0041388A 8BD0 mov edx, eax
:0041388C 83C40C add esp, 0000000C
:0041388F 2BD5 sub edx, ebp
:00413891 83E20F and edx, 0000000F
:00413894 3854390C cmp byte ptr [ecx+edi+0C], dl --->>> Protectionnya disini, kamu harus menyamakan apa yang ada di ecx+edi+0c, dimana ecx adalah bagian tertentu dari serial kamu !!!
:00413898 7402 je 0041389C --- >>> Lompat kalau sama !!! , kalau engga Bad cracker !!!
:0041389A 33DB xor ebx, ebx --->>> kalau kamu memilih metode patch patch disini adalah metode terbaik, ganti dengan nop nop.
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00413898(C)
|
:0041389C 8BE8 mov ebp, eax
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0041383B(C), :0041383F(U)
|
:0041389E 85DB test ebx, ebx --->>> test ebx, jika 0 unregistered, jika 1 registered user !!!
:004138A0 7584 jne 00413826
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00413824(C), :00413829(C)
|
:004138A2 5F pop edi
:004138A3 5E pop esi
:004138A4 8BC3 mov eax, ebx
:004138A6 5D pop ebp
:004138A7 5B pop ebx
:004138A8 83C40C add esp, 0000000C
:004138AB C3 ret
Source: flag eRRatum
Tahukah Anda bahwa facebook itu mempunyai fitur penggantian email aman bagi para penggunanya, fasilitas dimana jika kita berpindah email sebagai id login facebook.Email Aman, Akun Facebook Aman
Kasusnya begini:
Mr X (misal) seorang yang maniak sekali dengan facebook, dimana setiap hari dia bermain game terutama POKER, bersosialisasi, dan bahkan berbisnis melalui facebook. Suatu saat dimana pekerjaannya menumpuk Mr X tidak sempat membuka facebook. Padahal facebook seperti obat baginya yang musti dimakan (eh dibuka) 3 kali sehari. Setelah melawati minggu yang berat dimana pekerjaan menumpuk hingga akhirnya selesai, Anjar mempunyai waktu untuk membuka facebook. Tapi ternyata ada hal yang aneh. Id login facebooknya (email) dinyatakan tidak valid?
Setelah diselidiki lebih lanjut dan terungkaplah kejahatan seorang yang mencuri CHIP POKER dengan melakukan berbagai cara (spt Memanfaatkan kelemahan email, pishing, fakelogin, dll masih banyak cara) dan mengganti id login (email) Mr X dengan id login lain yang bukan miliknya.
Alangkah sedihnya Mr X saat dia tau akun FB nya gak bisa di login karena di sana terdapat sekitar $ 37M chip poker nya.
Nah Begitu ceritanya..., mari kita lanjut membahas keamanan Email dan Akun FB:
"Dengan email yang aman maka facebook Anda akan aman"
Dalam arti bedakan password email dengan password facebook dan pastikan email yang digunakan untuk facebook benar-benar aman . Jika id facebook Anda dicuri dan diganti dengan email lain maka silakan saja akses email Anda dan cari email yang berjudul "Facebook Contact Email Change Notification" dan klik link panjang yang merupakan pembatalan perubahan email.
Setelah melakukan pembatalan perubahan email Anda akan dikirimi "Facebook Password Reset Confirmation" yang menyuruh anda untuk mengganti password. Ingat ! password yang lama tidak bisa dipakai lagi karena masalah keamanan.
"Intinya facebook akan memberikan konfirmasi pergantian email ke email yang sebelumnya dipakai sebagai email pendaftaran facebook untuk menghindari pencurian akun"
Dika Email gak bisa di akses, atau diambil alih juga sama pemilik lain gunakan cara "Forgote Password" pada email anda dan anda akan di suguhi 2 pilihan yaitu melalui Email alternatif dan 2 Pertanyaan Keamanan Privacy...
==> Dan jika semua diatas tidak bisa dilakukan, gunakan laporan di "HELP" pada situs facebook.com untuk membuktikan kalau anda adalah pemilik akun tersebut...
NB:
= Belakangan ini banyak bermunculan aplikasi baru di facebook dan telah menyelipkan script auto untuk merekam apa yang kita jalani di browsing kita.., di harapkan agar hati-hati dalam menggunakan Aplikasi di facebook.com
= Gunakan akun FB ganda: 1 untuk bersosialisasi dan 1 untuk menggunakan layanan game (poker terutama) karena banyak orang melakukan hal pembobolan karena ingin memiliki(mencuri) chip poker...
Mencegah Facebook anda dari Cracker( karna bukan hacker namanya KLo Mengrusak apa lagi KLo copy dan paste )
1.> password email anda tidak boleh sama dengan password facebook anda, supaya klo ke hack, FB anda Masih Bisa Kembali
2.> Setiap masuk ke Facebook, tolong di perhatikan di bagian linknya
apakah facebook yang anda Tuju benar atau salah
nah ini contoh yang benar: http://www.facebook.com/
3.> sembunyikan email anda ( cara untuk menyembunyikan email:
- masuk ke pengaturan privasi
- pilih menu informasi kontak
- nah pada bagian paling bawah (tepatnya pada alamat email) , anda klik pilihan pas disamping kanan ganti dengan " Hanya Saya "
4.> nah klo berhubung dengan POKER. nah kamu jangan lihat lihat juga klo ada yang kirimkan kamu link dari zynga
link zynga yang bener adalah : http://www.zynga.com
nah klo ada embel embelnya di belakang http://www.zynga.com.ihefefeukfk/ atau http://www.zynga.blablabla.com/ atau http://www.zynga/."link aneh Cracker".com
ini berarti situs palsu para hacker copy paste
5.> klo login di warkop atau memakai akses wiffi yang tidak aman, tolong setiap kali anda mau keluar dari situ, ubah password anda ( ribet memang tapi demi keamanan ) karna ada Program untuk menyerap password seperti CAIN AND HABEL
6.> password email atau facebook anda di sarankan memakai huruf yang aneh : contoh password yang baik : ("r3ndyr3ndyr3ndyr3ndyt4mpan!@#$%^&*()_+") atau memakai tanda spasi : r3ndy r3ndy !@#
dijamin hacker atau cracker bakalan BOTAK nungguin password kamu
7.> klo kalian main di warnet ada baiknya kamu restart dulu komputernya, nah klo uda restart kamu login billing jangan buka dulu facebook kamu
wajib kamu untuk menekan TOMBOL :
CTRL+SHIFT+ALT+K (>K< bisa diganti, coba aja CTRL+SHIFT+ALT+tekan semua tombol di keyboard satu persatu.
nah klo muncul permintaan pengisian password, kamu ada baiknya keluar dari warnet BUSUK itu. dan jangan kembali lagi ke warnet itu sebab ada yang memasang program KEYLOGER
progam tersebut menyadap semua yang kita lakukan di dalam komputer tersebut.
8.> untuk bagian Localhost" sapa tau ada op warnet atau yang punya warnet kurang ajar"
nah kamu buka FB kamu, isi dengan email sembarangan dengan password sembarangan
nah klo dia masuk ke menu Login yang error baru kamu masukkan password dan username ( email ) kamu yang benar
==> ini dulu ya, capek saya menulis dan nyusun ulang dari hasil survei dan pengetahuan sendiri yang saya kompilasi...