Mengenal Lebih Jauh PCMAV v3.0

Mengenal Lebih Jauh PCMAV v3.0

Posted by drubicza in Antivirus, Programming & Scripting, Security, Software on Wednesday, March 24th, 2010 | 4 responses

Disclaimer

Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan artikel ini. Use at your own risk.

Pendahuluan

PCMAV atau PCMedia Antivirus adalah salah satu antivirus yang banyak digunakan di Indonesia. Namun, ada cara sederhana untuk mencegah antivirus tersebut untuk dieksekusi, yaitu dengan menggunakan mutex. Saya tidak akan menjelaskan apa itu mutex, jadi silakan cari sendiri artinya dan fungsinya.

Langkah-langkah

Untuk PoC kali ini, kita akan menggunakan Process Explorer dari sysinternals dan Fasm untuk membuat contoh aplikasi yang dapat mencegah PCMAV agar tidak berjalan sebagaimana mestinya (pada artikel ini digunakan PCMAV v3.0 aka ragnarok). Langsung saja, jalankan PCMAV lalu diikuti dengan menjalankan Process Explorer. Perhatikan panel bagian bawah pada Process Explorer, maka akan terlihat mutex PCMAV seperti pada gambar berikut ini:



Tutup (close) PCMAV, lalu salin kode berikut ini ke Fasm, dan build dengan menekan F9

format PE GUI 4.0
include 'win32a.inc'

invoke CreateMutex,0,0,szmutex
invoke Sleep,-1
invoke ExitProcess,0 ; untuk estetika...

szmutex db 'AAC3007F66FD3D85E3727EC54C2DC746',0

data import
library kernel32,'kernel32.dll',user32,'user32.dll'
import kernel32,CreateMutex,'CreateMutexA',ExitProcess,'ExitProcess',Sleep,'Sleep'
end data

Aplikasi PoC tersebut akan berjalan di-background, dan selama aplikasi tersebut berjalan, maka PCMAV v3 tidak akan dapat berjalan sebagaimana mestinya. Hal tersebut terjadi, karena PCMAV mengira bahwa dirinya telah dieksekusi/dijalankan. Sederhana bukan? nah, silakan bereksperimen.

Penutup

Sekian dulu artikel singkat kali ini, semoga bermanfaat, i’ll see you in another tutorial. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, HSN members, Anya, and You ;)

Referensi

[*] Flat assembler (FASM)

[*] Process Explorer

tabs-top
bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark
tabs-top

4 Comments »

  1. avatar
    18:18:19 - April 6th, 2010: #1
    phrozen says:

    mantab om..

    comment-bottom
  2. avatar
    23:24:49 - May 25th, 2010: #2
    Van! says:

    mantap sekali reviewnya…thx bro

    comment-bottom
  3. avatar
    18:45:18 - June 4th, 2010: #3
    M2R says:

    bbrp aplikasi memang menggunakan Mutex untuk mengecek App.PrevInstance

    Good Job ^^b

    comment-bottom
  4. avatar
    05:35:28 - June 5th, 2010: #4
    drubicza says:

    #All: terima kasih :) :)>-

    comment-bottom

RSS feed for comments on this post. TrackBack URL

Leave a comment