Disclaimer
Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan artikel ini. Use at your own risk.
Pendahuluan
PCMAV atau PCMedia Antivirus adalah salah satu antivirus yang banyak digunakan di Indonesia. Namun, ada cara sederhana untuk mencegah antivirus tersebut untuk dieksekusi, yaitu dengan menggunakan mutex. Saya tidak akan menjelaskan apa itu mutex, jadi silakan cari sendiri artinya dan fungsinya.
Langkah-langkah
Untuk PoC kali ini, kita akan menggunakan Process Explorer dari sysinternals dan Fasm untuk membuat contoh aplikasi yang dapat mencegah PCMAV agar tidak berjalan sebagaimana mestinya (pada artikel ini digunakan PCMAV v3.0 aka ragnarok). Langsung saja, jalankan PCMAV lalu diikuti dengan menjalankan Process Explorer. Perhatikan panel bagian bawah pada Process Explorer, maka akan terlihat mutex PCMAV seperti pada gambar berikut ini:
Tutup (close) PCMAV, lalu salin kode berikut ini ke Fasm, dan build dengan menekan F9
format PE GUI 4.0 include 'win32a.inc' invoke CreateMutex,0,0,szmutex invoke Sleep,-1 invoke ExitProcess,0 ; untuk estetika... szmutex db 'AAC3007F66FD3D85E3727EC54C2DC746',0 data import library kernel32,'kernel32.dll',user32,'user32.dll' import kernel32,CreateMutex,'CreateMutexA',ExitProcess,'ExitProcess',Sleep,'Sleep' end data
Aplikasi PoC tersebut akan berjalan di-background, dan selama aplikasi tersebut berjalan, maka PCMAV v3 tidak akan dapat berjalan sebagaimana mestinya. Hal tersebut terjadi, karena PCMAV mengira bahwa dirinya telah dieksekusi/dijalankan. Sederhana bukan? nah, silakan bereksperimen.
Penutup
Sekian dulu artikel singkat kali ini, semoga bermanfaat, i’ll see you in another tutorial. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, HSN members, Anya, and You ;)
Referensi
[*] Flat assembler (FASM)
[*] Process Explorer
mantab om..
mantap sekali reviewnya…thx bro
bbrp aplikasi memang menggunakan Mutex untuk mengecek App.PrevInstance
Good Job ^^b
#All: terima kasih :) :)>-