kali ini kita coba denga
File winmine.exe atau game dari windows yang menjinakkan ranjau ranjau
itu loh..tau kan biasanya ada di direktori:
C:\windows\system32\
Dengan nama file winmine.exe
Okay
sekarang kita coba menginjek permainan tersebut, jika km berhasil
menginjeksi file winmine.exe yang aslinya aplikasi tersebut kalau
di-klik 2 kali file-nya akan muncul seperti gambar berikut:
Nah kalau km dah melakukan injeksi maka akan muncul aplikasi sbb :
Oke mari kita melangkah kelangkah selanjutnya, metode menembus system.. ok langsung aja caranya:
1.
Setelah mendownload Ollydbg dari situs www.ollydbg.de , extract file
ollydbg tersebut, kemudian buka, maka akan muncul aplikasi seperti pada
gambar di bawah ini:
2. Setelah itu klik di aplikasi ollydbg tersebut menu File -> Open , cari file winmine.exe yang ingin diinjeksi
3.
Nah .. kalau udah kebukak…maka ollydbg akan menampilkan dalaman, atau
sourcecode winmine.exe dalam bahasa assembler tentunya seperti gambar
berikut:
4. Langkah selanjutnya adalah mencari CAVE apa itu cave??? Umh.... di tiap aplikasi yang dibuat, pasti ada ruang kosong yang entah sengaja disediakan atau memang tidak sengaja ada. CAVE adalah ruang kosong yang mempunyai kode ‘DB 00’ atau berarti kosong, nah dari ruang kosong inilah kita akan mencoba menginjeksi tanpa harus membuat aplikasi tersebut rusak, sehingga ketika aplikasi asli dijalankan, script virus kita dapat berjalan juga …, cave ini letaknya tidak tentu, bias diawal, di tengah atau di akhir baris program, tapi biasanya ada di akhir program, coba sekarang kita geser aplikasi tersebut ke baris paling bawah, maka ada ruang cave-nya seperti pada gambar berikut:
5.
Setelah ketemu cave-nya, letakkan kursor km di bawah skrip ’ DB 00’
atau setelah cave pertama, seperti pada gambar, kemudian tekan tombol
keyboard ke bawah sebanyak 20 kali, fungsiny disini untuk memesan alamat
sebanyak 20 ruang (yang dipesan akan ditandai dengan blok atau shading
berwarna abu abu):
6. Setelah itu tekan CTRL + E, maka akan muncul kotak sbb:
10. Lakukan seperti langkah di atas, Cuma bedanya kalimat yang diketik berbeda, yaitu:
7.
Isi kotak tersebut dengan kaliamat atau apa gitu, teserah km aja, kalau
saya sih lebih suka kalimat TES AJA GITUH, setelah itu klik OK, maka
akan terlihat di sana skrip yang diedit akan berwarna merah. Jangan
panik, biarkan saja, kemudian tekan CTRL + A agar ollydbg bisa
menganalisis skrip tersebut, jika benar, maka di badan program akan
ditampilkan tulisan yang km tulis tadi.
setelah di CTRL+A
8. Setelah itu arahkan kursor dibawah skrip yang diedit tadi, dan klik 2 kali, maka akan muncul kotak sbb:
setelah di CTRL+A 8. Setelah itu arahkan kursor dibawah skrip yang diedit tadi, dan klik 2 kali, maka akan muncul kotak sbb:
9. Lalu ketik ‘PUSH 0’ (tanpa tanda petik, kemudian klik tombol Assemble
10. Lakukan seperti langkah di atas, Cuma bedanya kalimat yang diketik berbeda, yaitu:
PUSH ADDRESS
PUSH ADDRESS
PUSH ADDRESS
PUSH 0
Call user32.MessageBoxA
CATATAN:Pada
skrip PUSH ADDRESS tadi, kata ADDRESS-nya diganti alamat yang lo tulis
kalimat pertama tadi, alamatnya dilihat di sebelah kiri, seperti yang
ditunjukkan pada gambar:
11. Jika sudah tertulis semua seperti pada gambar di bawah ini:
tekan
tombol bintang atau * pada keyboard, maka ollydbg akan menunjukkan
alamat origin atau alamat pertama kali program ini akan dijalankan
ketika dibuka, ditunjukkan pada blok atau shading berwarna abu - abu :
Bisa dilihat alamat origin berada pada 01003E21 dengan script PUSH 70
12. Klik 2 kali pada alamat tersebut, kemudian ganti dengan script:
JMP ADDRESSPERTAMA
Dimana
ADDRESSPERTAMA adalah alamat script PUSH 0 pertama terletak, yaitu pada
alamat 01004A64 , sehingga lo harus menuliskannya dengan:
JMP 01004A64
13. Selanjutnya perhatikan baris yang telah kita ubah (berwarna merah), dibawahnya ada script:
01003E26 90 NOP
Hapalkan
atau catat di notepad alamat 01003E26, kemudian arahkan kursor ke baris
akhir kode injeksi, yaitu terletak pada bawahnya script CALL
user32.MessageBoxA
14. Klik 2 Kali pada alamat tersebut, kemudian tulis script:
JMP ADDRESSKEDUA
Dimana
ADDRESSKEDUA adalah alamat yang lo hapalkan atau lo catat di notepad
tadi, yaitu 01003E26, sehingga lo harus menuliskannya sbb:
JMP 01003E26
15.
Selesai sudah injeksi kode dengan manual, klik kanan mouse lo, kemudian
pilih Copy to executable -> All modifications , kemudian klik copy
all, maka akan muncul kotak baru, kemudian klik kanan dan klik Save
File, dan simpan dengan nama lain, misalnya winmineinjek.exe
16.
Jalankan file winmineinjek.exe, apa yang terjadi..? km berhasil
menginjeksi game winmine mengubahnya menjadi tampilan message box atau
kotak pesan, nah itu baru menginjek dengan skrip kotak pesan atau
message box, gimana kalau menginjeknya dengan mengaktifkan
program..silahkan di coba sendiri..
credits : bo_boho
thank's to HolyDevilZ ( yg menshare )
Tidak ada komentar:
Posting Komentar