3.1 Aktif dalam Safe Mode

dokumen-dokumen yang mirip
Memeriksa AutoRun Registry

Rahasia StartUp dan Shutdown

Booting Gagal. 3.1 Mencari File NTLDR

Melindungi Komputer Dari Virus Tanpa Antivirus

80. Mbah dukun benarkah tanpa file autorun, virus tetap dapat melakukan fungsi autorun?

6.1 Membaca Tab Performance Task Manager

Registry secara global dibagi beberapa handle key yaitu : HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG

Mengapa file autorun.inf dapat menjadi sedemikian penting? Kita akan tahu jawabannya dengan uraian berikut ini.

Bab 1 Dasar Registry Windows XP

Isi Untuk membuka Command Prompt : I. Cara I Klik START Pada menu Programs atau All Programs, pilih Accessories Klik Command Prompt

Cara mempercepat kinerja computer Windows 7

Mencegah Virus Tanpa Anti-Virus untuk Win XP, Win2K & Win2K3

Mencegah User Menghapus atau Uninstall Program

Spesifikasi: Ukuran: 11x18 cm Tebal: 128 hlm Harga: Rp Terbit pertama: Februari 2005 Sinopsis singkat:

B. Alat dan Bahan 1. PC dengan sistem operasi Windows. 2. Software utility Recovery dan Restore. 3. Media storage.

CARA MENGHAPUS DEEP FREEZE YANG RUSAK TANPA PASSWORD

MENGOPERASIKAN SISTEM OPERASI

BACK UP DAN RECOVERY Dell Backup dan Recovery. Kelompok 1 : Aam Hermawan Cecep Dicky P. Enung Nurhayati Fitty Azkia F. Gita Rebianti M.

Tips Cara Mempercepat Kinerja Komputer Windows 7

Syarat agar bisa melakukan Backup windows:

Kustomisasi Desktop dan Taskbar

INSTALASI ACTIVE DIRECTORY

Spesifikasi: Ukuran: 14x21 cm Tebal: 123 hlm Harga: Rp Terbit pertama: Februari 2005 Sinopsis singkat:

IMPLEMENTASI PEMROGRAMAN VISUAL BASIC DENGAN DATABASE ACCESS

Mempercepat Kinerja Windows XP

Masalah system operasi windows terhadap computer

Merancang Project. Form Module Class Module Report. Form 1, Form 2, Minimarket (NamaProject) Gambar 4.1 Flowchart Project Sistem Informasi Minimarket

Berikut ini merupakan langkah-langkah untuk menjalankan aplikasi sms gateway ini :

3. Instalasi Operating System

Written by mangthjik riche Wednesday, 05 August :01 - Last Updated Monday, 31 August :17

Instalasi Windows XP

1. Desktop Microsoft Windows

Petunjuk Singkat Komputerisasi Dengan Software WAYout Toko Basic

BAB VIII MEMBUAT MENU DENGAN SWITCHBOARD MANAGER DAN PEMBUATAN STARTUP

A. INSTALLASI SOFTWARE

4. Pilih direktori tempat penyimpanan lalu klik Lanjut. A. INSTALLASI SOFTWARE 1. Masukkan CD Program ke dalam CD ROM

Buka Start -> All Programs -> Microsoft Visual Studio - > Microsoft Visual Fox Pro 6.0

Generic Host For Win32 Caranya manualnya sebagai berikut :

A. INSTALLASI SOFTWARE

Manual Book SID-SEKOLAH Manual Book SID-SEKOLAH

CARA MENGATASI LAPTOP YANG GAGAL BOOTING

Praktikum 4 Keamanan Jaringan

Keamanan Sistem Operasi

I Ketut Adi Sutrisna

Gambar 18. Koneksi Peer to Peer. Switch. Komputer B. Gambar 19. Topologi Star menggunakan 3 PC

yuliauswh[yo riy[nto.0.

Pengamanan Control Panel: Add and Remove Programs

2.2 Active Directory. Instalasi Active Directory

DATABASE SQL SERVER. Database SQL Server Halaman 1

Cara Membatasi Penggunaan Aplikasi Pada Windows7

Tips Mempercepat Kerja Komputer

Perbandingan Cara Sharing File/Folder Pada Windows 7 dan Windows XP

USER MANUAL. TREND MICRO Internet Security Pro. Detect & Remove Security Threats. By: PT. Amandjaja Multifortuna Perkasa

Tutorial Tips & Trik Opini

MENGATUR KOLEKSI FOTO

Frequently Asked Question

Petunjuk Singkat Komputerisasi Dengan Software WAYout Toko Advance

KSI B ~ M.S. WULANDARI

PETUNJUK PEMAKAIAN SOFTWARE

Panduan Penggunaan dan Perawatan Server

Tutorial Untuk Siaran Bareng pada Online Radio (Bagian 3 & 4)

MENGGANTI TEXT PADA XP START BUTTON

BATCH FILE. Merupakan sekumpulan perintah DOS yang disusun dan disimpan dalam sebuah file yang berekstensi.bat.

Cara mencegah dan menghapus virus dan malware lainnya.

Ghandie Kurnia Widi Lisensi Dokumen: Copyright IlmuKomputer.

Latihan 1: Membuat Project dan Database

Buku Panduan. Sistem Informasi Manajemen Lembaga Kursus dan Pelatihan (v.1.0)

MANUAL PENGOPERASIAN JSTOCKINVENTORY Twitter

A. INSTALLASI SOFTWARE

Registry. Anharku

Cara Mematikan Komputer Orang Lain Dari Kejauhan

( Manajemen File ) Ada beberapa cara mengaktifkan Windows Explorer. 1. Klik Start, All Programs, Accessories, Windows Explorer

Jangan lupa untuk menambahkan drive software lewat menu Sync Console.

Membuat Router dengan NAT pada Windows XP

BAB II SISTEM MANAJER

INSTALASI WINDOWS XP SECARA OTOMATIS

Beberapa efek yang bisa ditimbulkan virus pada komputer atau laptop :

system restore windows 7

BAB IV IMPLEMENTASI DAN EVALUASI. maka diperlukan tahap-tahap yang harus diselesaikan / dilalui antara lain :

Lampiran D Rancang Bangun Microsoft Windows Server 2003 Enterprise Edition

Menginstalasi Windows 8 dengan Cara Membuat Salinan Baru

Kata Pengantar. Bandung, September 2006 M. Agus J. Alam

1.1 Mengenal dan Memulai Excel 2007

Pengaksesan Registry Windows Oleh : U. Abd. Rohim, S.Kom, MT

fm_iqbal

Teknik Membongkar Pertahanan Virus Lokal Menggunakan Visual Basic Script dan Text Editor Untuk Pencegahan

Krisna D. Octovhiana. 1.1 Mengenal Data dan Variabel.

Manual Book SID RENTAL BUKU, by Manual Book SID RENTAL BUKU, by

Modul Praktikum Ke-2

A. INSTALLASI SOFTWARE

MODUL 1 INSTALASI DAN PENGENALAN OS. MCROSOFT WINDOWS

2.1 Instalasi Joomla Secara Lokal

MODUL 1. SIWAK 1.1 Modul SIWAK

Jenis-Jenis Virus Komputer Yang Paling Berbahaya

Bertukar Data dengan Wireless LAN

BlackBerry Desktop Software. Versi: 7.1. Panduan Pengguna

Teknik PING ini bisa di gunakan oleh pengguna Internet, Baik itu menggunakan Modem, LAN, Wifi DLL caranya?! simak sob..

4. Pembuatan File Batch

Transkripsi:

Virus dan Safe Mode Safe mode? Ya Windows biasanya akan diperlengkapi dengan modus safe mode. Dimaksudkan agar pemakai dapat memperbaiki Windows jika terjadi suatu musibah. Windows safe mode sebetulnya tidak lebih dari Windows yang dijalankan dengan driver standar! Sehingga jika terjadi kerewelan pada driverdriver non-standar Windows yang membuat Windows modus standar gagal dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara masuk ke modus safe mode. Pada saat dalam modus safe mode inilah, pemakai berkesempatan untuk melakukan eliminasi pada drive non-standar yang bermasalah tersebut. Dengan cara ini, Windows yang rusak akan menjadi normal kembali. Itu harapannya. Melihat fungsinya, tentu saja, modus safe mode ini, juga merupakan ancaman bagi kelangsungan hidup virus atau program-program yang suka membuat masalah Oleh karena itu, modus safe mode ini juga merupakan target utama program virus. Artinya, virus akan berusaha memanipulasi modus safe mode atau bahkan menggagalkan fungsinya! 39

Bagaimana masuk ke modus safe mode? Lakukan booting ulang komputer. Pada saat proses booting dimulai, tekanlah tombol F8 secara cepat dan berulangkali. (Agak histeris juga boleh ) Sehingga muncul menu boot Windows. Pilihlah Safe Mode, maka proses akan berjalan hingga akhirnya menampilkan pilihan user yang harus digunakan untuk masuk ke Windows safe mode. Pada Windows XP, biasanya akan muncul account Administrator dan account yang kita punya. Pilihlah user Account yang biasa kita pakai. Setelah itu biasanya kita akan ditanya, apakah akan masuk ke modus Safe mode ataukah kita akan memakai fasilitas system restore Windows. Klik Yes, maka kita akan masuk ke mode Windows safe mode. Artinya, Windows akan aktif dengan perangkat apa adanya (standar minimalnya). 3.1 Aktif dalam Safe Mode Ada subkey registry Windows yang berguna untuk menjalankan suatu program secara otomatis saat Windows dihidupkan. Jadi, jika kita ingin agar suatu file executable aktif saat Windows dihidupkan, maka kita harus menulisi subkey autorun ini dengan suatu nama value yang berisi data yang menyebutkan bahwa file X.EXE adalah file yang harus dieksekusi. X di sini mewakili sembarang nama file EXE. Tools standar milik Windows untuk memeriksa konfigurasi autorun adalah program System Configuration Utility atau lebih dikenal dengan nama msconfig karena file pengaktif program tersebut bernama msconfig.exe. Untuk memanggilnya, dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan msconfig. Tekan Enter atau klik OK. Jendela System Configuration Utility akan muncul dan terlihat beberapa tab. Salah satunya tab Startup. Tab tersebut berguna untuk melihat program apa saja yang akan dijalankan oleh Windows pada saat Windows diaktifkan. Ini dia! Virus biasanya akan memblokir penggunaan program ini. Entah itu dengan mematikan pilihan Run atau memonitor caption (judul/nama) jendela program yang sedang aktif. Jika caption program yang sedang aktif adalah sama dengan caption yang telah ditargetkan oleh virus, secara otomatis virus akan segera menutupnya atau mungkin melakukan booting ulang. Sekarang sampeyan tahu 40

sebabnya, bukan? Mengapa saat suatu virus aktif, dan kita memanggil msconfig, tiba-tiba jendela program msconfig menutup dengan sendirinya. Atau mungkin, tiba-tiba, komputer melakukan booting ulang capeek deh Gambar 3.1. Tab Startup msconfig Pada tab Startup, akan terlihat kolom Startup item, yang menunjukkan nama item yang akan dijalankan saat Windows diaktifkan. Juga kolom command, yang biasanya berisi program yang diaktifkan plus parameternya jika ada. Sedangkan kolom Location, menunjukkan lokasi subkey (syaraf) registry yang menyimpan setting data ini. Pada contoh terlihat, nama SMTray ternyata adalah milik program yang bernama SMTray.exe dan berada di folder d:\program Files\Analog Devices\SoundMAX. Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif programnya dijalankan saat booting Windows terjadi sehingga penelitian di bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang memasangkan nama itemnya dengan nama yang berbau-bau nama file sistem Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya, dengan nama windows.exe, svc0host.exe, rundlll.exe dan lain sebagainya. Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus. Dan ini perlu latihan. 41

Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan dijalankan. Setelah kita melakukan proses centang atau un-centang klik OK dan lakukan booting ulang agar proses pengubahan menjadi aktif. Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa konfigurasi autorun registry adalah program Registry Editor. Untuk memanggilnya, dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan ketikkan regedit. Tekan Enter atau klik OK. Program registry editor akan tampil. Pergilah ke lokasi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\run Klik ganda berulangkali pada subkey yang terlihat sehingga lokasi tersebut ditemukan. Gambar 3.2. Lokasi yang akan diperiksa Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value dan tekan DEL. Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini adalah: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 42

Jika ditemukan nama value yang menurut Anda aneh, hapus saja Dari beberapa subkey di atas, ada satu subkey yang cukup istimewa. Yaitu subkey RunOnce. Berbeda dengan subkey Run yang akan selalu menjalankan program yang ada di dalamnya setiap kali Windows dihidupkan, subkey RunOnce ini biasanya dipakai untuk menjalankan satu program sebanyak satu kali saja! Jadi, subkey ini biasanya dipakai oleh suatu program untuk mengaktifkan prosesnya sebanyak satu kali saja sehingga nama value yang dituliskan di sini hanya akan berlaku satu kali saja. Setelah dijalankan, nama value tersebut akan dihapus. Jika pembuat virus cukup nakal, ia akan membuat program virus untuk menuliskan pengaktifnya di subkey ini. Jadi, virus akan aktif saat komputer dihidupkan. Program akan dijalankan dan nama value pemicu akan dihapus. Maka ia tidak meninggalkan jejak di msconfig. Selang beberapa waktu saat virus aktif, ia akan membuat program timer yang secara berkala menulis ulang nama value di subkey tersebut. Atau mungkin virus hanya akan menuliskan data pada subkey RunOnce saat komputer akan di-log off. Dengan cara tersebut, virus akan terjaga eksistensinya. Lumayan cerdik khan? Tapi. ada yang lebih gila lagi dengan bantuan subkey RunOnce ini, virus akan tetap dapat hidup biarpun Windows dijalankan di modus SAFE MODE! Caranya? Sederhana saja! Yaitu dengan menambahkan satu karakter tertentu pada nama value tersebut, maka virus akan dapat berjalan pada safe mode. Karakter apakah itu? Saya tidak akan memberi tahu Sampeyan.. heheh! ndak ding nanti saya dipikir tukang menyembunyikan ilmu lagi. Kita langsung praktek saja ya? Panggil Regedit dan pergi ke subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once Kita buat suatu nama value yang bernama COBA. Nama value ini misalnya akan memanggil file virus yang bernama VIRUSKU.EXE. Gambar 3.3. Lokasi subkey target 43

Klik kanan subkey Runonce. Menu konteks akan muncul, pilih New, pilih String Value. Gambar 3.4. Membuat subkey baru Suatu subkey baru akan muncul. Kita ganti nama value tersebut dengan data COBA. Ketik COBA dan tekan Enter. Gambar 3.5. Membuat nama value Klik ganda nama value tersebut dan kita isi datanya dengan c:\windows\virusku.exe. Lalu klik OK. Gambar 3.6. Mengisi nama value 44

Jika benar dalam melakukannya, kita akan memiliki nama value COBA dengan jenis string dan mempunyai data c:\windows\virusku.exe. Artinya, saat nanti Windows dihidupkan, file VIRUSKU.EXE akan ikut dijalankan! Gambar 3.7. Nama value baru Nah! Sekarang, bagaimana caranya agar nama value tersebut tetap akan dijalankan biarpun Windows dimasukkan dalam modus SAFE MODE? Gampang! Cukup tambahkan karakter * (asterisks) di depan nama value tersebut. Artinya, nama COBA kita ganti dengan nama *COBA. Gambar 3.8. Mengubah nama dari nama value Jika tidak percaya, lakukan booting dan masuklah dalam modus SAFE MODE. Saharusnya file dengan nama VIRUSKU.EXE akan tetap dijalankan oleh Windows. Jika yang kita pasangkan file tersebut adalah file virus beneran, maka akibatnya akan cukup fatal. Virus tetap akan hadir di memory biarpun kita telah memakai modus SAFE MODE. Biarpun trik ini kelihatannya sederhana, tapi cukup berbahaya jika dipakai. Karena sesudah data tersebut dijalankan, maka data yang dijalankan tersebut akan dihapus oleh Windows. Sehingga akan mempersulit pelacakan sumber masalahnya. Take care! 45

Jika virus tetap saja aktif biarpun kita sudah masuk ke modus safe mode, periksalah subkey RunOnce secara berulang kali. Siapa tahu virus tidak memakai teknik shell spawn, tapi mengandalkan subkey Runonce. Teknik Runonce ini, masih jarang dilakukan oleh virus. Jadi, hukumnya wajib dipasangkan! Semakin banyak manipulasi yang dapat membuat virus aktif, maka akan semakin sukses virus tersebut bertahan hidup. Viva Virus!! 3.2 Alternate Shell Safe Mode Virus biasanya tidak akan dapat aktif bila kita masuk ke safe mode. Itu biasanya! Pada perkembangannya, virus ternyata juga sudah mulai melebarkan sayapnya, mencekal (cegah dan tangkal.. ) beberapa penanganan safe mode dengan memasangkan pemicu filenya pada beberapa subkey registry. Dengan cara ini, virus akan tetap dijalankan dan mencegah pemakai untuk masuk ke modus SAFE mode! Kasar memang! Tapi ya begitulah.. sayangku.. hehehe Jadi, trik ini akan menggenapi trik pertama tadi menambah ruwetnya pematian virus. Hehehe ndak pa pa malahan tambah asyik khan? Lokasi subkey registry yang diserang adalah: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot Lokasi visualnya terlihat seperti pada Gambar 3.9. 46

Gambar 3.9. Lokasi subkey target Pada subkey SafeBoot ini akan terdapat suatu nama value yang bernama AlternateShell. Dengan jenis datanya adalah string. Kita lihat isian standarnya adalah CMD.EXE. Jika tidak berisi data tersebut, ada kemungkinan file yang ada di situ adalah file virus. Waspadalah! Misalkan hal itu terjadi, klik ganda nama value tersebut dan pada isian Value data ubahlah menjadi berisi CMD.EXE. Klik OK. Beres! Gambar 3.10. Mengedit isian data Yang perlu mendapat perhatian! Virus umumnya juga akan menyerang subkeysubkey yang sejenis. Artinya begini virus juga akan menyerang lokasi registry lain yang menyimpan data-data SafeBoot, biasanya memang terdapat lebih dari satu kontrol ini. Lokasi lain yang diserang adalah: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot Jadi, bergantung pada komputer tersebut mempunyai berapa subkey ControlSet00X. X di sini mewakili angka 1, 2, dan seterusnya. Dengan diubahnya data pada nama value AlternateShell, maka biasanya komputer akan gagal masuk ke SAFE MODE, malahan menjalankan file virus! BAH.!!.. 47

Jika virus menyerang dan kita gagal masuk ke modus safe mode, maka subkey-subkey alternate shell ini wajib kita periksa. Jika isi datanya aneh, tidak standar, maka ubahlah isiannya dengan CMD.EXE. Biarpun manipulasi ini terkesan kasar dan kejam, namun apa boleh buat, pencegatan masuk ke safe mode ini, wajib dilakukan. Karena akan membuat virus lebih aman dan terjaga eksistensinya! 48

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan