Sudah baca buku seni pemrograman aplikasi Xtreme coding menggunakan Visual basic oleh A.M. HIRIN ? Kalo sudah pasti tau dong Program Header Modifier dan apa funsinya? Sejenak mengingat tutorial di virologi yang telah saya buat tentang AV vs VM dimana sang AV menggunakan database string ceksum CRC32 dalam mengenali sebuah file. Jika file tersebut terdaftar dalam database string ceksum CRC32 maka file tersebut digolongkan virus dan AV akan melakukan proses pemusnahan (delete).
Mengapa para AV menggunakan teknik ini? Alasan pertama yang saya ambil karena proses copy-paste. Sebuah file jika di copy kemudian di paste maka dengan kata lain akan terjadi duplikat yang sama persis baik wajah,karakter,ukuran, jenis ataupun wataknya. Kemudian AV menggunakan cheksum CRC32 atau MD5 untuk mengenali ceksum dari virus dan peranakannya.
Lalu apa kaitannya dengan buku yang saya sebutkan di awal? Jelas ada kaitannya, disini saya akan mengembangkan project dari mas HIRIN, hehehe boleh yam mas….? Tunggu project itu fungsinya apaan? Fungsinya adalah untuk memodifikasi sedikit data yang ada di bagian awal suatu file PE atau pun file berekstensi .exe .Maksudnya apaan sih? Singkat kata memodifikasi string cheksum suatu file .exe . Wah jangan-jangan mau dikembangkan jadi virus nih? Hehehe....ga kok ga salah maksudnya tapi ga segitunya kok.Next…apa yang kita butuhkan? Logika? Sedikit teknik? Dan sedikit cemilan kali lihat project tersebut:
Lihat logika alur jalannya program, ternyata program berjalan setelah kita menentukan dimana alamat file .exe yang akan kita rubah, lalu kita mengeksekusi/ merubah ceksum dengan menekan tombol modify? Lalu apa yang harus dilakukan? Tolol masi tanya aja ya dibuat pengalamatan langsung, Ga Usah Nulis-nulis Gitu? Gimana caranya biar alamatnya bisa kedaftar sendiri? Wah tanya mulu lo dengerin dulu lihat object apa aja yang di pakai,yang perlu dicermati Textbox = Text1 nah disini kita perlu mendifinisikan/ mendaftarkan alamatnya
Text1.Text = " D\Bokep.exe "
Lalu lakukan pemanggilan fungsi Modif (pada modul) berfungsi untuk meng-injeksi/memasuukan data yang sudah ditentukan sehingga dapat mengubah ceksum CRC tanpa merusak jalannya program.
Modif Text1.Text
Disini kita akan ubah ceksum CRC peranakan virus dengan nama Bokep.exe terletak di Drive D
Wah apa harus gitu? Ga juga,klik aja textbox-nya lalu cari bagian properties –alphabethic-text isi dengan alamat tersebut,hasilnya sama aja kok. Trus gimana biar ga pencet tombol? Ya dibuat load langsung bisa dengan timer atau dengan Private Sub Form_Load.
Kok Cuma satu? Aku kan pengennya banyak peranakan yang aku rubah…wuh…masak harus aku ajarin? dah…mulai dari logika pertama apa? Textbox =tempat alamat virus lha terus? Tolol..ya tambah textbox-nya, lalu tambah Script untuk perubahan ceksum CRC-nya….O.gitu ya..(AH…OH….mulu lo…)
Dengan modul yang sama seperti gambar berikut:
Tapi kok formnya keliatan gitu ga seru ah? Ya tinggal tambahin Form1.Hide.Untuk source peng-copy-an virusnya ga usah aku terangin ya da pada tau semuakan..lagian ga baik nerangin yang kaya gitu (huehuehue….)jalankan program….kok ga da apa-apa?iya mang dibuat gitukan… lalu cek ceksum CRC32nya dengan CRC generator misal virus induk ceksumnya : 94ADC1FA lalu seksum virus peranakannya setelah dimodif menjadi: F6E7B891 wew…sukses..dengan begini peranakan virus memiliki ceksum yang berbeda dengan induknya dan tidak mengubah kinerjanya ( tp lolos dari scanning AV )hehehe…
Sebenarnya ada satu cara lagi agar ceksum induk berbeda dengan ceksum peranakannya, yah seperti pemikiranku yang dulu yaitu bikin peranakan dengan ukuran size yang berbeda tapi tidak mengubah kinerjanya jadi kinerjanya harus sama seperti file induknya wew……
Segala Penyalahgunaan adalah dalam rangka pembelajaran,Saya tidak bertanggung jawab atas tindakan ataupun perbuatan anda.
Diambil dari www.virologi.info
