emm dulu aku ader tyr bitdifander free pun.....
tapi x kesan brontok.......
pastu kena virus be with u.......pun x leh gak......x kesan virus gak....pas format aku pakai avg...sebab ader jumpe crack...... oklah sampai skrg ok... skrg
pakai terminater spyware ngan registry repair......
oklah pc skrg x ader pro
ne ader sejarah virus hehehe.....
Komputer telah berada disekeling kita semenjak lebih dari 60 tahun yang lalu, namun tidak ramai dikalangan kita yang benar-benar mengetahui setiap fungsi atau pengetahuan yang mendalam tentang komputer. Sebilangan besar pengguna komputer hanya tahu menggunakan komputer tanpa mengetahui bahawa komputer juga mempunyai pelbagai sintom masalah. Penyalahgunaan komputer telah bermula semenjak awal 70an. Namun diketika itu, ia hanyalah bentuk pencerobohan untuk mencuri maklumat (hacking) kemudian pada awal 80an, dua saudara iaitu Basit Alwi dan Amjad Alwi, pemilik sebuah kedai komputer di Iqbal Town, Lahore, Pakistan (Brain Computer Services) yang kecewa dengan sikap pembeli perisian mereka yang seringkali membuat salinan tidak sah (pirated copy) , telah mengambil langkah mencipta sebuah program yang boleh membuat penyalinan dirinya (self replicate). Program ini akan menyerang pelbagai perisian dan setiap disket yang diserangnya, ia akan menukarkan label disket kepada (c) Brain sebagai tanda pengenalannya (signature). Disebabkan mereka telah menjual perisian yang dijangkiti dengan program ini secara murah, pelancong yang telah membeli perisian yang telah dicemari ini dengan mudah telah memindahkannya ke perisian lain keseluruh dunia!.
Inilah permulaan sintom virus komputer, disebabkan program ini mampu menjangkiti dan menyalin dirinya tanpa had, ia seolah-olah virus penyakit yang menyerang manusia, maka ia digelar Virus oleh pengkaji-pengkaji komputer. Virus ini dikenali dengan nama Pakistani Brain.
Apakah Virus Komputer ?
Virus komputer ditulis atau dicipta oleh pengaturcara komputer (programmer), Lazimnya mereka ini amat mahir mengendalikan sesuatu bahasa aturcara, ini adalah kerana untuk menulis virus, seseorang pengaturcara haruslah mahir mengendalikan sesuatu bahasa aturcara itu melebihi paras kemampuan pengaturcara biasa. Pengaturcara komputer yang mampu menulis virus digelar psychopath.
Bagaimana Virus Berjangkit ?
Virus komputer berjangkit melalui penggunaan program yang telah dicemari virus. Apabila sesuatu program yang dijangkiti virus (infected) digunakan, ia akan bertindak mencari program lain sama ada di disket atau di cakera keras (harddisk) sesebuah komputer, kemudian ianya akan menjangkiti program ini dan begitulah seterusnya, namun begitu jenis serangan atau kategori serangan adalah bergantung kepada arahan di dalam virus itu sendiri.
Kategori Virus
Virus boleh dibahagikan kepada beberapa kategori mengikut teknik serangannya.
Virus
Program yang mampu menyalin dirinya ke dalam program lain. Ia akan berada pada permulaan arahan program (*.exe) atau akhir program (*.com). Apabila pengguna menggunakan program yang dicemari ini, ia akan mencari program lain dan menjangkiti program itu sebelum execute program yang digunakan oleh pengguna tersebut. Lazimnya ia mencari ruang ingatan (memory) yang tidak digunakan, ini adalah kerana ia memerlukan ruang untuk membuat fail sementara dan juga berada di dalam ruang ingatan komputer untuk menyalin dirinya ke program yang digunakan sehinggalah komputer ditutup (off).
Virus boleh dikategorikan mengikut teknik serangannya :-
i) Boot Sector/Partition Table Infector
ii) System Infector
iii) Generic Infector
iv) Macro Virus
Worm
Tidak seperti virus, Worm adalah sebuah program yang tidak bergantung pada program lain (stand alone.) Ia tidak mengubah sesuatu program itu, sebaliknya ia hanya menyalin dirinya menjadi banyak apabila ia digunakan. Lazimnya worm menyamar dengan nama program yang berada di dalam komputer, ini akan mengakibatkan pengguna menggunakan program itu kerana menyangka ia adalah program biasa. Ia akan membuat salinan dirinya dan kemudiannya barulah execute program yang hendak digunakan oleh pengguna tersebut. Ia kadang-kala dipanggil malacious code.
Trojan Horse
Ia mengambil nama sempena dengan teknik serangannya yang mirip Kuda Trojan yang dihantar oleh Greek ke Kota Troy. Apabila kuda kayu yang dikatakan hadiah pendamaian ini dibawa masuk ke Kota Troy, pada sebelah malamnya, keluarlah tentera Greek dari dalam kuda kayu tersebut menyerang bangsa Trojan. Trojan Horse pada mulanya tidak melakukan apa-apa, ia seperti permainan elektronik, perisian tertentu yang berfungsi seperti biasa tetapi pada keadaan tertentu ia akan melakukan tugasnya. Ia juga kadangkala bertindak menghantar salinan dokumen tertentu ke internet atau penciptanya, seperti senarai katalulus (password) sesebuah sistem komputer Ia mula dijumpai pada 9hb. Disember, 1987 di Bitnet dan kemudiannya menyerang sistem emel IBM. Ia menghantar emel dengan tajuk Christmas. Apabila emel ini dibuka, ia akan melakarkan pada skrin komputer rajah pokok krismas dan pada masa yang sama ia menghantar salinan dirinya menurut senarai yang terdapat dalam mail list pekerja IBM. IBM kemudiannya mengarahkan kesemua komputer di dalam sistem rangkaiannya di shutdown untuk mengatasi virus ini.
Time Bomb
Ia tidak membuat salinan dirinya. Ia bertindak mengikut tarikh tertentu. Lazimnya ia dilakukan oleh pengaturcara yang tidak berpuashati dengan majikannya atau untuk tujuan pemusnahan. Time Bomb akan dimasukkan kekomputer dan apabila tiba pada tarikh tertentu (lazimnya pada tarikh ini pengaturcara tersebut sudah berhenti dari syarikat itu) ia akan memadam kesemua fail-fail di dalam komputer tersebut termasuklah
Cara-cara untuk menangkap Trojan
Jenayah komputer seringkali bersedia dan menunggu untuk mengancam kelemahan sesuatu sistem. Apabila mereka memperdaya, mereka selalunya akan meninggalkan program pada sistem mangsa. Biasanya program-program ini dipanggil sebagai "Trojan" bersempena kisah kuno Greek iaitu Trojan horse. Kebanyakan program-program ini akan dikompil dengan cara yang unik dan tidak disebarkan secara meluas bagi mengelakkan perisian anti-virus mengecam kehadiran mereka.
Artikel ini akan menjelaskan proses reverse engineering trojan. Selain trojan, proses yang berjalan pada sistem yang tidak sah oleh pentadbir juga dikenali sebagai virus dan spyware. Artikel ini diharapkan akan menjadi satu tutorial lengkap, dengan menyenaraikan beberapa tool dan keterangan langkah-langkah untuk menangkap trojan. Berbekalkan pengetahuan ini, seseorang yang telah mahir di dalam pengaturcaraan bahasa himpunan (assembly) harus mampu untuk melihat dengan lebih dalam lagi program trojan dan mengenalpasti sifat-sifatnya.
Peralatan yang diperlukan
Sepertimana bidang kejuruteraan, anda memerlukan beberapa peralatan. Saya akan menyentuh alat-alat yang boleh digunakan oleh kedua-dua sistem operasi Unix dan juga Windows, contohnya seperti program Cygwin, selain Unix program ini juga boleh digunakan dalam platform Win32. Namun begitu, apabila anda menyahkompil/menyahhimpun/menyahralat sesuatu kod, penggunaan di dalam Windows akan melibatkan kos yang tinggi, sedangkan penyelesaian kepada Unix adalah percuma sama sekali. Pastikan anda telah mempertimbangkan kos bekerja dalam Windows dan kelebihan-kelebihannya jika memilih Windows sebagai platform reverse-engineering.
Beberapa arahan berguna Unix ialah:
dd - menyalin raw device, berguna untuk menjalankan analisis pada cakera
keras sistem yang diancam tanpa memberi kesan pada keutuhan bukti penceroboh.
file - cuba untuk mengenalpasti identiti jenis fail berdasarkan pada kandungan fail tersebut
strings - menghasilkan output string dari program exe.
hexedit - membaca dan menyunting fail binari
md5sum - mencipta hasiltambah unik fail untuk kegunaan perbandingan
diff - membuat perbandingan dua fail
lsof - menunjukkan semua fail terbuka dan soket melalui proses
tcpdump - menghidu paket network
grep - mencari string dalam fail
Memampat Fail EXE
Trojan biasanya dimampat dengan pembungkus executable (executable packer). Ini bukan sahaja menjadikan kod lebih mampat, tetapi juga mengelakkan data string di dalamnya dari dilihat oleh arahan strings dan hexedit. Program pemampat yang paling banyak digunakan ialah UPX, di mana ia boleh memampat binari Linux atau Windows. Terdapat juga beberapa pemampat lain yang boleh digunakan, tetapi kebanyakannya hanya untuk Windows sahaja. Mujurlah UPX ialah satu-satunya pemampat yang juga membekalkan buku panduan (manual) nyahmampat (decompress) untuk mengembalikan fail asal.
Secara lazimnya, menggunakan arahan "strings" atau memeriksa Trojan dengan hexedit sepatutnya memberikan string fail yang banyak dan lengkap. Jika anda melihat karakter binari secara rawak atau teks yang berselerak, fail tersebut sebenarnya telah dimampatkan. Dengan menggunakan grep atau hexedit, anda boleh mencari string "UPX" pada salah satu tempat di dalam fail tersebut jika ia dimampat menggunakan UPX. Jika tidak anda mungkin perlu menggunakan pemampat yang lain.
Menyahkompil (Decompile)
Kadang-kala anda akan bernasib baik jika anda mendapati Trojan tersebut ditulis dalam bahasa penterjemah atau separuh-penterjemah seperti Visual Basic, Java mahupun Perl. Terdapat beberapa peralatan yang boleh digunakan untuk menyahkompil mengikut peringkat bahasa yang digunakan.
Visual Basic - Anda boleh menggunakan peralatan seperti Compuware's SmartCheck untuk mengesan (traces) penjemput di dalam program. Meskipun penunjuk outputnya bukanlah dalam bentuk senarai kod sumber (source code), tetapi anda boleh melihat apa sahaja yang sedang berlaku di dalam program tersebut.
Java - Terdapat satu penyahkompil (decompiler) yang dipanggil Jad, di mana ia boleh menyahkompil (decompile) sesuatu source code dan boleh dikompil (compile) semula.
Perl - Program Perl yang dikompil ke dalam Windows executable boleh di kurangkan pendedahan skripnya dengan menggunakan exe2perl.
Menyahhimpun (Disassembly)
Jika sesuatu Trojan ditulis di dalam bahasa penghimpun, anda perlulah menggigit pelurunya dengan menyahhimpun (disassemble) kod tersebut ke dalam bahasa himpunan (assembly). Untuk versi Unix, objump adalah pilihannya. Untuk Windows, anda mempunyai pilihan sama ada IDA Pro ataupun W32dasm. Di sana terdapat versi IDA yang diedarkan secara percuma yang setanding dengan IDA Pro, tetapi menggunakan antaramuka konsol yang membosankan. Program-program ini akan menyahhimpun kod anda, memadankan string di dalam segmen data, melihat cara bagaimana program tersebut diguna pakai sehinggalah anda boleh melihat pengasingan subrutin. Ia juga akan berusaha untuk menunjukkan penjemput API Windows. Cara output sebegini juga dikenali sebagai senarai-maut bagi kebanyakan cracker di mana ia boleh memberikan gambaran sebenar tentang bagaimana program tersebut berjalan secara dalaman.
Menyahralat (Debugging)
Walaupun anda telah mempunyai senarai-maut, anda juga perlu menggunakan program penyahralat (debugger) untuk melangkah masuk ke dalam kod program, terutama sekali jika trojan tersebut berhubung melalui soket network. Ini memberikan anda akses terhadap memori dan pembolehubah (variable) yang disimpan di dalam program tersebut, dan juga semua data yang dihantar/diterima dari soket komunikasi. Untuk Unix gdb adalah penyahralat pilihan. Ia telah lama menjadi darah daging Unix, dan didokumentasikan dengan baik, dan yang paling penting, ia diedarkan secara percuma. Untuk Windows, anda mempunyai lebih banyak pilihan tetapi kebanyakan tutorial reverse engineering lebih tertumpu kepada penggunaan SoftICE.
