Disclaimer
Tutorial ini hanya untuk pembelajaran semata. Use at your own risk.
Pendahuluan
Beberapa saat yang lalu, saya sempat membaca tentang maxtrox di salah satu forum. Setelah mencari informasi lebih lanjut, akhirnya saya sempat membaca pembahasan tentang maxtrox di salah satu situs. Dan dari kedua kejadian itu, saya semakin penasaran. Akhirnya saya putuskan untuk berburu samplenya, dan kebetulan saya menemukan salah satu sample yang nyangkut di salah satu situs berbagi file. Ok, cukup sampai di sini basa-basinya :p
Wallpaper Only
Pada awalnya saya berniat untuk mendisassemble sample yang saya dapat, namun apa daya ternyata dia dibuat menggunakan VB dan saya tidak punya msvbvm60.dll. Upaya men-download runtime tersebut juga gagal karena koneksi saya yang sangat cepat (< 1 kbps + sering dc). Jadi akhirnya saya putuskan untuk mengambil wallpaper saja dari sample tersebut. Langkah pertama adalah membuka sample maxtrox menggunakan hexeditor atau pakai vim juga bisa seperti yang saya lakukan. Nah, setelah terlihat hexdumpnya, tinggal mencari signature imagenya. Karena ukuran sample yang saya dapat cukup kecil, maka saya berasumsi bahwa gambar yang ada di sample tersebut menggunakan format JPEG. Jadi saya cari signature yang umum ada pada file JPEG yaitu byte FF D8 FF E0 00 10 dan string JFIF. Coba perhatikan screenshot berikut ini:
Search the string
Pada screenshot di atas bisa dilihat signature JPEG berwarna ungu, sedangkan yang berwarna hijau kemungkinan adalah ukuran file JPEG tersebut. Nah, dengan bermodal informasi tersebut kita bisa mengambil kesimpulan sementara bahwa offset awal dari file JPEG berada pada 0x4A30 dan ukurannya 0x44EF (ingat soal big/little endian). Ok, untuk membuktikan teori tersebut, saya membuat script perl sederhana untuk mengekstrak data yang dibutuhkan. Berikut adalah screenshot script tersebut:
Xtracting
Pada screenshot di atas bisa dilihat bahwa script tersebut mengekstrak sejumlah byte pada offset tertentu. Hasilnya adalah wallpaper yang ada dalam executable maxtrox yaitu gambar berikut ini:
Maxtrox Wallpaper
Sebenarnya dulu saya sempat membuat aplikasi untuk mengekstrak gambar dari aplikasi delphi/VB tapi setelah saya cari sepertinya sourcenya musnah bersama hdd yang tewas. Nanti kalau sempat akan saya buat lagi. Btw, software seperti ini sebenarnya sudah banyak beredar, salah satunya adalah bitmaprip buatan Marco Pontello.
Penutup
Sekian tutorial sederhana ini, semoga bisa bermanfaat. Terima kasih kepada (tanpa urutan): NitrouZ, fl3xu5, sakitjiwa, dylavig, LiFe, k0il, hddstudio, pinczakko, kris kaspersky, LucuBRB, 4NV|e, movzx dan semua yang tidak sempat saya sebut satu persatu, serta Anda yang telah membaca tutorial ini.
woo jadi ini yg namanya meta data ya?
dadi penerusnya om Kumis KRMT Roy Suryo Notodiprojo donk
maksudnya apa sih ?? :confused: nyari signature image dibuat apa ?
mohon pencerahannya
metadata? y0u kn0w wh0?
maksudnya bukan seperti itu om. kan awalnya saya mau men-disassemble maxtrox tersebut, tapi gagal berhubung saya tidak punya runtime vb yang dibutuhkan berhubung saya tidak pakai window$. nah, akhirnya saya hanya mengekstrak gambar yg ter-embed di executablenya. lumayan buat dijadikan wallpaper. soal signature, itu dipake untuk menentukan awal dari file gambarnya serta berapa besar ukuran yang harus diekstrak. lebih dan kurangnya mohon dimaafkan, maklum saya hanya average computer user(tm).
#1,
siapa yg ngomongin metadata yah ? :-?
jadi inget dulu bikin program extract sound/image dari game2 dgn rating AO biar tanpa perlu namatin dah bisa wat ngliat koleksi lengkapnya :p
saya PERTAMAX ternyata :malu:
oh… ngintip gambar di file exe ya ?, setelah baca comment baru “ngeh”, baca artikelnya… rada sukar di cerna hehe
maaf waktu ku bongkar virus ntu pake cr gue ndiri aku dapet kata UNKLAB maksudnya apa tu,,,,,,,,???????
jangan coba boong yaaa…….
aku mang masih wannabe,,,,
tolong dibales………
#6: kalau menurut salah satu situs, katanya UNKLAB itu adalah kampung halamannya si maxtrox. jadi maxtrox lahir di sana :D
#5,
om dru ini sukanya iseng :D ngeluarin gambar dari virus. ;)) atau ngeluarin virus dari gambar ? awkakakw…. :D
UNKLAB = Universitas Klabat
#9,
terima kasih atas informasinya. akhirnya saya tahu maksud UNKLAB.