#include <windows.h>

#ifdef _MSC_VER
#pragma comment(lib,"kernel32")
#pragma comment(lib,"user32")
#pragma comment(linker,"/entry:main /subsystem:windows")
#endif

HWND g_hwnd = NULL;

void iseng(int icmd, char *szmsg)
{
  MessageBox (NULL, szmsg, "Info", MB_OK | MB_ICONINFORMATION);
  PostMessage (g_hwnd, WM_COMMAND, (WPARAM) icmd, 0);
}

void main()
{
  if (!(g_hwnd = FindWindow ("ThunderRT6FormDC", "ARTAV-RTP")))
  {
    MessageBox (NULL, "Pastikan artav sudah aktif", "Error", MB_OK | MB_ICONERROR);
    ExitProcess (1);
  }
  iseng (2, "Tampilkan interface artav");
  iseng (4, "Enable/disable artav RTP");
  iseng (8, "Tampilkan form donasi");
  iseng (6, "Matikan artav");
  MessageBox (NULL, "That's all folks!\r\nThank you for watching.", "Info", MB_OK | MB_ICONINFORMATION);
  ExitProcess (0);
}

untuk program yang sudah jadi, silakan download di sini. Ok, sekian dulu artikel iseng kali ini. Semoga bermanfaat.
Terima kasih kepada Tuhan Yang Maha Esa, TKP Crew, antihackerlink, dan Anda :)

Langkah-langkah

1. Download database signature Artav
   

   $ curl -# -O http://arrival88.fileave.com/Signature.rar
   ######################################################################## 100.0%
   

2. Unrar file databasenya
   

   $ unrar x Signature.rar
   
   UNRAR 3.93 freeware      Copyright (c) 1993-2010 Alexander Roshal
   
   Extracting from Signature.rar
   
   Extracting  ARTAVSig.dll                                              OK
   All OK
   

3. Periksa tipe file serta ukurannya
   

   $ file ARTAVSig.dll && ls -lh ARTAVSig.dll
   ARTAVSig.dll: data
   -rw-r--r-- 1 drubicza users 748K 2011-01-29 22:22 ARTAVSig.dll
   

4. Ternyata filenya adalah data :D Oke, waktunya men-decrypt
   

   $ python
   Python 2.7 (r27:82500, Aug 14 2010, 21:08:29)
   [GCC 4.3.3] on linux2
   Type "help", "copyright", "credits" or "license" for more information.
   >>> import array
   >>> with open('ARTAVSig.dll', 'rb+') as f:
   ...     b = array.array('c')
   ...     b.fromfile(f, 160)
   ...     for i in range(0,160):
   ...             b[i] = chr(ord(b[i]) ^ 190)
   ...     f.seek(0)
   ...     b.tofile(f)
   ...
   >>>
   

5. Sekarang, kita periksa lagi jenis filenya
   

   $ file ARTAVSig.dll
   ARTAVSig.dll: Microsoft Access Database
   

6. Selesai :D

Rahasia dari kode decrypt di atas adalah karena Artav menggunakan database yang sama persis dengan al VirusScan buatan Moh Aly Shodiqin. Namun demikian, saya belum sempat mencari tahu apakah Artav sepenuhnya dikembangkan dari source code al VirusScan. Oke, berikut ini potongan fungsi enkripsi yang bisa dilihat pada modul mDatabase.bas al VirusScan.

Function LockUnlock(Filename As String, Locked As Boolean) As Boolean
'--skipped--
               If data(0) = &HBE Then
                  For i = 0 To 160
                    shpwd(i) = inpwd(i) Xor 255 Xor 19 Xor 3 Xor 81
                  Next i
                  Put #1, 1, shpwd
               End If
'--skipped--
End Function

Setelah proses dekripsi, Anda bisa membuka file signature Artav menggunakan Microsoft® Access atau aplikasi lainnya. Oke, sekian dulu artikel singkat kali ini. Semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, TKP Crew dan Anda :)

{***
  Password-decryption, used to restore session-passwords from registry

  @param string Text to decrypt
  @return string Decrypted Text
}
function decrypt(str: String) : String;
var
  j, salt, nr : integer;
begin
  result := '';
  if str = '' then exit;
  j := 1;
  salt := StrToIntDef(str[length(str)],0);
  result := '';
  while j < length(str)-1 do begin
    nr := StrToInt('$' + str[j] + str[j+1]) - salt;
    if nr < 0 then
      nr := nr + 255;
    result := result + chr(nr);
    inc(j, 2);
  end;
end;

dari potongan fungsi di atas, bisa terlihat bahwa password terlebih dahulu diubah menjadi dua digit hexadesimal lalu dikurangi dengan salt. Salt itu sendiri merupakan bilangan acak antara 1-9 yang diletakkan dibagian paling akhir dari password. Untuk heidisql versi 5, file konfigurasinya bernama portable_settings.txt sedangkan untuk versi 4 namanya RegKey1.reg (CMIIW). Ok, berikut ini source untuk mendekripsi password session heidisql dalam bahasa Python:

s = "PUT_ENCRYPTED_PASSWORD_HERE"
for i in range(0,len(s)-1,2):
    print chr(int(s[i] + s[i+1], 16) - int(s[-1])),

source di atas tidak melakukan konversi untuk ASCII yang kurang dari 0 (silakan tambahkan sendiri :P). Contoh penggunaannya:

$ python
Python 2.7 (r27:82525, Jul  4 2010, 07:43:08) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> s = "736476767A7275673"
>>> for i in range(0,len(s)-1,2):
...     print chr(int(s[i] + s[i+1], 16) - int(s[-1])),
...
p a s s w o r d
>>>

Demikian artikel singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa dan Anda yang telah membaca artikel ini.

Bisa terlihat jelas bahwa captionnya menggunakan string yang acakadut. No problem, we’re not invalid. Kita lewati saja captionnya dan langsung menuju ke window classnya. Sebagai PoC (Proof of Concept) berikut ini source aplikasi kecil yang bisa digunakan untuk mematikan proses ragnarok 2 cukup dengan mencari classnya. Assemble dan link menggunakan fasm.

 format PE GUI 4.0
 include 'win32a.inc'

;// code //
 push   .done
 push   dword [fs:0]
 mov    dword [fs:0],esp
 invoke FindWindow,szcls,0
 test   eax,eax
 jz     .done
 invoke GetWindowThreadProcessId,eax,dwpid
 invoke OpenProcess,PROCESS_TERMINATE,0,[dwpid]
 test   eax,eax
 jz     .done
 push   eax
 invoke TerminateProcess,eax,0
 call   [CloseHandle]
.done:
 pop    dword [fs:0]
 add    esp,4
 invoke ExitProcess,0

;// data //
 szcls db 'TFClnMain',0
 dwpid dd 0
 hproc dd 0

;// imports //
data import
 library kernel32,'kernel32.dll',user32,'user32.dll'
 include 'api/kernel32.inc'
 include 'api/user32.inc'
end data

Sekian dan terima kasih… ;)

Pendahuluan
Anda mungkin sudah sering mendengar soal antivirus lokal bernama smadav. Kali ini kita akan membahas proteksi pada registrasi smadav, termasuk nantinya akan diberikan source code untuk membuat keygen smadav.

Proteksi Key Bajakan
Jika Anda memasukkan key bajakan pada smadav, maka otomatis smadav akan melakukan beberapa hal untuk menandai komputer Anda sebagai pengguna smadav bajakan. Berikut ini adalah cara yang ditempuh oleh smadav untuk membuat komputer Anda terdeteksi sebagai pembajak:

• Mengcopy file ke sistem dengan nama PIRAsys.dll (huruf A nya adalah karakter delta khas smadav)
• Menambahkan value lfPitchAndFamily (lagi-lagi menggunakan karakter delta) ke registry pada subkey HKCU\Software\Microsoft\Notepad
• Menambahkan baris berisi # 241.241.241.241 antipiracyworld.com pada file %WINDIR%\system32\drivers\etc\hosts

Jadi jika Anda selalu gagal memasukkan key, maka coba Anda hapus file, registry entry dan entry pada file hosts sesuai dengan petunjuk di atas.

Membuat Keygen
Proses pembuatan key pada smadav sebenarnya tidak terlalu rumit. Yang perlu diperhatikan adalah smadav menggunakan nilai magic :D . Selain itu, smadav hanya mengambil karakter alphanumeric pada nama. Jadi untuk satu key, kita bisa menggunakan banyak kombinasi nama, misalnya "TKP Crew", "TKP|Crew", "TKP-Crew" semuanya menggunakan 1 key saja. Ok, untuk mempersingkat waktu, berikut ini source code keygen smadav (untuk perusahaan):

#include <stdio.h>
#include <stdlib.h>

int
main()
{
  int i, j, len;
  char szname[50];
  unsigned int a[6] = {0, 0, 0, 99, 99, 00};
  const unsigned int magic[] = {
  0x26,0x38,0x39,0x39,
  0x63,0x0F,0x3A,0x0C,
  0x0D,0x11,0x13,0x12,
  0x58,0x3A,0x34,0x34,
  0x0C,0x0D,0x0C,0x39,
  0x34,0x62
  };

  printf(
  "-----------------------------\n"
  "Smadav 8.2 Keygen by TKP Crew\n"
  "-----------------------------\n"
  "Nama (tanpa tanda baca): ");
  fgets(szname, sizeof(szname)-1, stdin);
  strupr(szname);
  len = strlen(szname)-1;
  for (i = 0, j = 0; i < len; i++, j++)
  {
    if (j > 2) j = 0;
    a[j] += (szname[i] * len) % 0x64;
    if (a[j] > 0x64) a[j] %= 0x64;
  }
  for (i = 0; i < 5; i++) { a[5] = (a[5] + (a[i] * len)) % 0x16; }
  a[5] = magic[(int) a[5]];
  printf("Serial : %02lu%02lu%02lu%02lu%02lu%02lu\n",a[3],a[5],a[4],a[0],a[1],a[2]);
  return 0;
}

contoh keygen ketika dijalankan

C:\>key
-----------------------------
Smadav 8.2 Keygen by TKP Crew
-----------------------------
Nama (tanpa tanda baca): tkpcrew
Serial : 999999669943

C:\>

hasilnya adalah sebagai berikut

Penutup
Demikianlah artikel kali ini, semoga bermanfaat. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, SBKJ, INRev, dan Anda yang sudah membaca artikel ini ;)

Executable modules
Base       Size       Entry      Name       File version    Path
00400000   001B5000   00401344   Morphost   7.01            H:\--snip--\Morphost ß.exe
73420000   00153000   73421AF8   MSVBVM60   6.00.9802       H:\WINDOWS\system32\MSVBVM60.DLL
77120000   0008B000   77121560   OLEAUT32   5.1.2600.5512   H:\WINDOWS\system32\OLEAUT32.dll
774E0000   0013D000   774FD0B9   ole32      5.1.2600.5512   H:\WINDOWS\system32\ole32.dll
77C10000   00058000   77C1F2A1   msvcrt     7.0.2600.5512   H:\WINDOWS\system32\msvcrt.dll
77DD0000   0009B000   77DD70FB   ADVAPI32   5.1.2600.5512   H:\WINDOWS\system32\ADVAPI32.dll
77E70000   00092000   77E7628F   RPCRT4     5.1.2600.5512   H:\WINDOWS\system32\RPCRT4.dll
77F10000   00049000   77F16587   GDI32      5.1.2600.5512   H:\WINDOWS\system32\GDI32.dll
77FE0000   00011000   77FE2126   Secur32    5.1.2600.5512   H:\WINDOWS\system32\Secur32.dll
7C800000   000F6000   7C80B63E   kernel32   5.1.2600.5512   H:\WINDOWS\system32\kernel32.dll
7C900000   000AF000   7C912C28   ntdll      5.1.2600.5512   H:\WINDOWS\system32\ntdll.dll
7E410000   00091000   7E41B217   USER32     5.1.2600.5512   H:\WINDOWS\system32\USER32.dll

Klik ganda pada baris msvbvm60.dll untuk menuju ke library tersebut. Setelah berada pada modul msvbvm60, tekan Ctrl + N lalu cari fungsi __vbaFileOpen seperti ini:

734F3B5D   .text      Export     __vbaFileOpen

Setelah ketemu, tekan F2 untuk mengaktifkan breakpoint. Tekan F9 untuk mulai menjalankan morphost. Kita akan menemukan breakpoint pertama, lanjutkan dengan menekan lagi F9. Pada breakpoint ke-2 ini akan terlihat bahwa morphost mengakses file kernell.dat pada direktori sistem (Windows\system32):

0012F9CC   00157384  UNICODE "H:\WINDOWS\system32\kernell.dat"

Nah, file tersebut adalah file database morphost yang sudah didekripsi oleh morphost ketika dijalankan. Sebenarnya, key yang digunakan oleh morphost bisa terlihat ketika proses debugging. Namun untuk menghemat waktu, keynya saya berikan saja :D yaitu:

Database Morphost Antivirus

Decryptor

Source code berikut ini bisa digunakan untuk mendekripsi database morphost (bulan Mei 2010).

#include <windows.h>

#ifdef _MSC_VER
#pragma comment(lib,"kernel32")
#pragma comment(lib,"user32")
#pragma comment(linker,"/entry:main /subsystem:windows")
#endif

void
main()
{
  int i;
  char *p;
  HANDLE hfile;
  HGLOBAL hmem;
  DWORD dwsize, dwtemp;
  static const char *szkey = "Database Morphost Antivirus";

  if ((hfile = CreateFile("database.mrp", GENERIC_READ, 0, 0, OPEN_EXISTING, 0, 0)) == INVALID_HANDLE_VALUE)
  {
    MessageBox (NULL, "gagal membuka file database morphost", "error", MB_OK | MB_ICONERROR);
    ExitProcess(1);
  }
  dwsize = GetFileSize(hfile, NULL);
  hmem = GlobalAlloc(GPTR, dwsize);
  p = (char *) GlobalLock(hmem);
  ReadFile(hfile, p, dwsize, &dwtemp, NULL);
  CloseHandle(hfile);

  for (i = 0; i < (int) dwsize; i++) { p[i] ^= szkey[(i % 27)]; }

  if ((hfile = CreateFile("database.txt", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, 0, 0)) != INVALID_HANDLE_VALUE)
  {
    WriteFile(hfile, hmem, dwsize, &dwtemp, NULL);
    CloseHandle(hfile);
    MessageBox (NULL, "database morphost berhasil didekripsi", "info", MB_OK | MB_ICONINFORMATION);
  }
  GlobalUnlock(hmem);
  GlobalFree(hmem);
  ExitProcess(0);
}

Dan berikut ini adalah database morphost yang sudah didekripsi (bulan Mei 2010)

Database Mei 2010
Database Morphost Antivirus
by:Morphic Karta
Terima kasih kepada pengguna Morphost Antivirus yang telah mempercayakan Morphost sebagai guard komputer.
Kami masih tetap berusaha untuk memberikan yang terbaik, baik dari sisi kenyamanan penggunaan sampai keamanan komputer anda.
Kami juga mengharapkan agar masyarakat juga mau membantu kami dalam pengembangan database Morphost bulan Juni 2010. Kirim/upload sampel malware pada kami.
Anda bisa berikan link download malware kepada kami atau mengirimkannya secara langsung pada kami. Terima kasih.
10 Juni 2010
14
580
581
582
583
584
1003DC=DeleteRegedit=Maret 2009=Ringan
100630=Playboy-A=November 2009=Ringan
103218=Aidid=Tidak Ada Data=Sedang
10C968=OpenSystem=Tidak Ada Data=Sedang
1181AB=Decoil-Dropper=Tidak Ada Data=Parah
119723=FullHouse=Tidak Ada Data=Sedang
11DC95=Iwing=Tidak Ada Data=Sedang
...

Penutup

Demikianlah artikel singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, TKP crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini :)

• cari ukuran file smadav.loov
• ubah format ukuran ke DWORD dan ambil lower byte dari ukuran tersebut. misalnya ukuran file databasenya 28119 bytes, maka jika diubah menjadi DWORD (hex) menjadi 0x6DD7. nah, 0xD7 ini yang akan kita gunakan.
• selanjutnya kita baca mulai dari offset 0×20 dari file smadav.loov lalu setiap byte kita XOR dengan offset byte tersebut kemudian di XOR lagi dengan byte pada langkah sebelumnya (dalam hal ini 0xD7).
• ulangi sampai selesai

Proof of Concept

        format PE GUI 4.0
	include 'win32a.inc'

;[code]------------------------------------------------------------------------

	push	.done
	push	dword[fs:0]
	mov	dword[fs:0],esp
	invoke	CreateFile,szloov,GENERIC_READ,0,0,OPEN_EXISTING,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.done
	mov	[hfile],eax
	invoke	GetFileSize,[hfile],0
	mov	[dwsize],eax
	invoke	GlobalAlloc,GPTR,eax
	mov	[hmem],eax
	invoke	ReadFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	movzx	edx,byte[dwsize]
	mov	eax,20h
	mov	ebx,[hmem]
.blah:	mov	cl,byte[ebx+eax]
	xor	cl,al
	xor	cl,dl
	mov	byte[ebx+eax],cl
	inc	eax
	cmp	eax,dword[dwsize]
	jl	.blah
	invoke	CreateFile,szdump,GENERIC_WRITE,0,0,CREATE_ALWAYS,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.clean
	mov	[hfile],eax
	invoke	WriteFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	invoke	MessageBox,0,szmsg,szcap,MB_OK+MB_ICONINFORMATION
.clean: invoke	GlobalFree,[hmem]
.done:	pop	dword[fs:0]
	add	esp,4
	invoke	ExitProcess,0

;[data]------------------------------------------------------------------------

szloov	db "smadav.loov",0
szdump	db "smadav.dump",0
szcap	db "info",0
szmsg	db "decrypt selesai, silakan cek file smadav.dump",0
hmem	dd 0
hfile	dd 0
dwsize	dd 0
dwtemp	dd 0

;[imports]---------------------------------------------------------------------

data import
library kernel32,'kernel32.dll',\
	user32,'user32.dll'
include 'api/kernel32.inc'
include 'api/user32.inc'
end data

dan berikut ini snippet hasil dekripsi file smadav.loov yang ada pada smadav 8.2 beta

Penutup

Sekian artikel kali ini, semoga bermanfaat. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini :)

Tutorial ini di buat hanya untuk cadangan apabila suatu saat dongle Anda rusak atau hilang, pembuat tutorial tidak bertanggung jawab atas penggunaan tutorial untuk kejahatan ;)

Sebelum memulai tutorial, ada tools yang harus Anda miliki. Silakan download toolsnya di bawah ini, ada mirror IX dan IIX. Download at your own risk !

Rapidshare :

http://rapidshare.com/files/213585824/SenEmul2007-mjcoolz21.rar

Indowebster :

http://dl.iixbox.com/download.php?file=520&name=Sentinel.rar

CARA BACKUP AND RESTORE DUMP

1. Instal dulu Sentinel73.exe (di folder Instalador Sentinel). Restart
2. Pastikan LPT port ato USB konek. Kemudian buka “EDGESPRO11.EXE” di folder EDGE
3. Select the Sentinel, choose a filename for the result. DNG file and press “Dump and resolve.”
   Pilih tab Sentinel. “Dump and Solve” Browse. simpen file *.DNG (dongle)

   Tunggu sampai beberapa menit tergantung type apa dan berapa banyak retrieval algoritma yg dibutuhkan.

   

   Neobit

   Tips for Advance User :
   The “Specify developers Id” and “Specify Write Password” options are for advanced users and it is not necessary.
   “Specifying Developer ID” allows you to dump and solve from emulators without physical dongle.
   “Specify Write Password” allows you to dump faster, if you know Cell 4 (write password).

4. Sekarang run SENTEMUL2007.EXE. Pilih TAB Driver > Press Now run SENTEMUL2007.EXE, go to “Driver” tab and press Install driver sampe brubah “Status: driver is installed.”
   

   Install Driver

5. Buka TAB Emulator, Klik “Start service”. Jika bener maka kamu akan liat “SENTINEL Emulator Service is running”
   

   Emulator

6. Open Dongles “tab and press the” Load dump “button, and then seek. DNG file created with EDGESPRO11.EXE
   

   Load Dongle

7. Done and ENJOY !

Courtesy of mjcoolz21 @ CCPB #14

Pendahuluan
Beberapa saat yang lalu saya sempat iseng-iseng melakukan scanning terhadap pengguna speedy secara acak. Dan seperti yang kita tahu, ada banyak pengguna speedy yang tidak memperhatikan modemnya dan hanya dibiarkan dengan setting default. Nah, kebetulan saya tertarik dengan salah satu jenis modem yang sempat terlihat di log hasil scan. Maka dari itu, saya memutuskan untuk menulis artikel ini. Oh iya, sebenarnya artikel semacam ini sudah sangat banyak di Internet jadi saya mohon maaf yang sebesar-besarnya karena artikel ini mungkin repost ( biar repost yang penting happy ™ … )

Bagian PertamaX
Ok, langsung saja, karena settingnya masih default, jadi kita bisa langsung masuk ke panel administrasi modemnya. Tampilannya seperti ini:

Seperti yang bisa dilihat pada gambar, modemnya adalah Prolink tipe H9200 (mohon dikoreksi kalau salah). Terlihat juga pada gambar tersebut, setting modem ini cukup banyak dan lengkap. Ok sekarang kita lihat ke panel admin bagian port settings. Sebenarnya ini sudah bisa dilihat dari log scan :D tapi biar memastikan kita lihat lagi:

Ada tiga port yang terlihat di sana (HTTP, Telnet dan FTP). Ok, selanjutnya iseng-iseng lihat account sang pemilik di web telkomspeedy:

Wah, koneksinya unlimited :D … ok cukup acara melihat-lihatnya, kita kembali konsentrasi di modem. Seperti yang tadi kita lihat, ada 3 port TCP yang terlihat di panel administrasi modem dan kita sudah menggunakan salah satu yaitu HTTP. Sekarang kita akan mencoba melakukan koneksi menggunakan telnet :D dan hasilnya seperti pada log berikut ini:

bash-3.2$ telnet 125.164.xxx.xxx
Trying 125.164.xxx.xxx...
Connected to 125.164.xxx.xxx.
Escape character is '^]'.
 
                         *******************
                         Welcome to Vulcan
                         *******************
 
Conexant Inc., Software Release 2.5.060823m-J
Copyright (c) 2001-2003 by Conexant, Inc.
 
login: admin
password:
Login Successful
$help
Command        Description
-------        -----------
alias          To Alias a command
apply          Apply configuration/image file
commit         Commit the active config to the flash
create         Create a new entry of specified type
delete         Delete the specified entry
download       Download a file on to the Device
exit           To exit the CLI shell
get            Display info for the search
help           Provides help
list           List files
modify         Modify information for specified entry
passwd         To modify user password
ping           The normal ping command
prompt         Change the user prompt
reboot         Reboot the device
remove         Remove file
reset          Reset info for the specified entry
size           ATM Sizing Information
traceroute     The normal traceroute command
trigger        To set trigger
unalias        To undefine previously defined alias
verbose        Switch ON/OFF the verbose mode
 
$exit
Connection closed by foreign host.

Dari log di atas, bisa terlihat jelas bannernya. Versi software yang digunakan serta instruksi yang didukung. Untuk selanjutnya saya tidak akan membahas lebih jauh mengenai fungsi dari setiap instruksi tersebut, berhubung koneksi saya senin kamis alias tidak stabil ( mungkin lain kali akan coba saya bahas ). Selanjutnya kita akan mencoba koneksi menggunakan ftp :D dan hasilnya kurang lebih seperti pada log berikut ini:

bash-3.2$ ftp 125.164.xxx.xxx
Connected to 125.164.xxx.xxx.
220 FTP Server (Version 1.0) ready.
331 User name okay, need password.
230 User logged in, proceed.
Remote system type is WINDOWS.
ftp> ls
200 Command okay.
150 File status okay; about to open data connection.
drwxrwxrwx   1 owner    group               0 Mar 28  1988 home
226 Closing data connection.  Requested file action successful.
ftp> cd home
250 Requested file action okay, completed.
ftp> ls
200 Command okay.
150 File status okay; about to open data connection.
drwxrwxrwx   1 owner    group               0 Mar 28  1988 .
drwxrwxrwx   1 owner    group               0 Mar 28  1988 ..
-rwxrwxrwx   1 owner    group            1566 Mar 28  1988 commitedcfg.cmt
-rwxrwxrwx   1 owner    group            1003 Mar 28  1988 getcfg.cfg
-rwxrwxrwx   1 owner    group            4096 Mar 28  1988 TEBoot.dat
-rwxrwxrwx   1 owner    group           16384 Mar 28  1988 TEFacs.dat
drwxrwxrwx   1 owner    group               0 Mar 28  1988 surf
drwxrwxrwx   1 owner    group               0 Mar 28  1988 ssh
drwxrwxrwx   1 owner    group               0 Mar 28  1988 sag
drwxrwxrwx   1 owner    group               0 Mar 28  1988 misc
drwxrwxrwx   1 owner    group               0 Mar 28  1988 Licenses
drwxrwxrwx   1 owner    group               0 Mar 28  1988 l2wall
drwxrwxrwx   1 owner    group               0 Mar 28  1988 igd
drwxrwxrwx   1 owner    group               0 Mar 28  1988 hag
drwxrwxrwx   1 owner    group               0 Mar 28  1988 dslf_igd
drwxrwxrwx   1 owner    group               0 Mar 28  1988 dsl
drwxrwxrwx   1 owner    group               0 Mar 28  1988 bridge
drwxrwxrwx   1 owner    group               0 Mar 28  1988 adet
-rwxrwxrwx   1 owner    group               0 Mar 28  1988 initerror.log
-rwxrwxrwx   1 owner    group           13723 Mar 28  1988 commitedcfg.cfg
226 Closing data connection.  Requested file action successful.
ftp> type binary
200 Command okay.
ftp> get TEBoot.dat
local: TEBoot.dat remote: TEBoot.dat
200 Command okay.
150 File status okay; about to open data connection.
226 Closing data connection.  Requested file action successful.
4096 bytes received in 1.02 secs (3.9 Kbytes/sec)
ftp> get TEFacs.dat
local: TEFacs.dat remote: TEFacs.dat
200 Command okay.
150 File status okay; about to open data connection.
226 Closing data connection.  Requested file action successful.
16384 bytes received in 2.89 secs (5.5 Kbytes/sec)
...
ftp> bye
221 Service closing control connection.  Logged out if appropriate.

Pada log di atas terlihat struktur direktori dan file yang terdapat di dalam modem tersebut. Dari sekian banyak file, saya hanya men-download beberapa file ( seperti yang terlihat *dan tidak terlihat* pada log ). Tujuan men-download file-file tersebut adalah untuk dipelajari. Ok, sekarang kita coba periksa file "TEBoot.dat" ( 4096 bytes ) :

bash-3.2$ strings TEBoot.dat
...
Starting POST - V5.0
SDRAM -
Loader Checksum -
 Passed
 Failed
>00< Boot Error

Jika diperhatikan sejenak, sepertinya file tersebut adalah bootloader selain karena namanya sendiri mengandung kata boot. Ok, sekarang kita coba periksa file "TEFacs.dat" ( 16384 bytes ) :

bash-3.2$ strings TEFacs.dat
FACTcreate user name ***** passwd ***** root
modify system logthresh 1
size maxvc 8 max1483vc 8 maxppe 8
modify nbsize maxipsess 192
create ethernet intf ifname eth-0 ip 192.168.1.1 mask 255.255.255.0 inside
create usb intf ifname usb-0 ip 192.168.1.2 mask 255.255.255.0 inside
modify dsl config adsl2plusauto annex adsl2plus advcapability annexaall memorymode enable
modify dsl config autosraenable disable profile main
create atm port ifname atm-0 maxvc 8
create atm trfdesc trfindex 0 NOCLP_NOSCR
create atm vc intf ifname aal5-0 lowif atm-0 vpi 0 vci 35
create atm vc intf ifname aal5-1 lowif atm-0 vpi 8 vci 81
create atm vc intf ifname aal5-2 lowif atm-0 vpi 1 vci 33 vcmux
create atm vc intf ifname aal5-3 lowif atm-0 vpi 8 vci 35
...

Dari snippet di atas, kita bisa simpulkan sementara bahwa file tersebut adalah factory default settings. Selain kedua file tersebut, masih ada beberapa file ".sh" yang sempat saya download beserta dengan file konfigurasi ( tapi saya tidak akan membahasnya saat ini :( ).
Akhirnya karena penasaran, saya lalu membuka situs prolink untuk mencari update firmware :D untuk dipelajari. Dan saya beruntung bisa menemukan firmware dan manual yang saya cari, yaitu untuk tipe H9200 tersebut. Setelah berjuang dengan koneksi senin kamis, akhirnya selesai juga di download. Berikut ini daftar file yang saya download :

bash-3.2$ ls -lh
total 4.7M
-rw-r--r-- 1 drubicza users 1.7M Mar  8  2007 TEImage-H9200-060823c4-1P.bin
-rw-r--r-- 1 drubicza users 1.7M Mar  8  2007 TEImage-H9200-060823m-1P.bin
-rw-r--r-- 1 drubicza users 792K Mar  8  2007 Upgrade.exe
-rw-r--r-- 1 drubicza users 483K Mar  9  2007 technote_upgrade_guide.pdf
-rw-r--r-- 1 drubicza users  185 Mar  8  2007 upgrade.ini

Seperti biasa, kita akan mencoba mencari petunjuk dari file bin[ary] tersebut.

bash-3.2$ strings TEImage-H9200-060823m-1P.bin | more
...
Starting POST - V5.0
SDRAM -
Loader Checksum -
 Passed
 Failed
>00< Boot Error
IMG1
F~MANU
123456789abcdx
Unused
VIKING-SPARC
...
Loader (V5.00) Self-Extracting ...
 Done
 Failed
Fatal error occured, system halted ...
Decompressing UMON (V1.62) ...
 Done
1.1.3
...
 inflate 1.1.3 Copyright 1995-1998 Mark Adler

Ok, dari snippet di atas, kita mendapat beberapa petunjuk lagi :D misalnya petunjuk kompresi yang digunakan dan yang utama ada uMon. Nah, kita cari tahu dulu apa itu uMon. Setelah mencari ke sana kemari, akhirnya ketemu. Secara singkat, uMon adalah:

MicroMonitor is a free embedded system boot platform centered around an extensible embedded flash file system called TFS. With TFS intrinsic to the monitor, all data access can be name based instead of address based…

Tidak perlu menunggu lama, langsung saja sourcenya saya download untuk dipelajari.

Bersambung…
Tujuan awal ke-iseng-an ini sebenarnya untuk menambahkan "fitur" baru atau malah membuat custom firmware yang bisa di-upload ke modem tersebut dengan aman. Namun, dengan beberapa pertimbangan akhirnya saya memutuskan untuk melanjutkan artikel ini di lain kesempatan, karena:

• Dari kemarin saya belum makan.
• Saya masih harus banyak belajar soal firmware khususnya yang digunakan oleh modem tersebut.
• Modem itu bukan punya saya, jadi kalau firmwarenya salah, bisa gawat.
• Unsur-X yang membuat saya belum bisa melanjutkan artikel ini.

Selain yang saya jelaskan di atas, sebenarnya masih banyak hal yang bisa dilakukan pada modem tersebut. Misalnya belajar snmp karena yang saya perhatikan dari panel administrasi modemnya terdapat menu snmp :p

Terima Kasih
Tuhan Yang Maha Esa, NitrouZ, dylavig, k0il, D3L (terima kasih atas dukungannya), pinczakko, kris kaspersky, dan Anda yang telah membaca artikel iseng ini :)

Dibalik Layar
Sebenarnya ada kejadian lucu. Waktu sedang asyik membaca tech note untuk upgrade firmware dari Prolink, saya iseng-iseng lihat properties filenya:

Ternyata dibuat sebagai administrator. Akhirnya saya bertanya-tanya, mungkinkah …? dan akhirnya saya memutuskan untuk melakukan scanning :D dan hasilnya seperti pada log berikut:

# Nmap 4.76 scan initiated Fri Feb  6 07:36:46 2009 as: nmap -v -n -sS -sV -F -T4 -oN pro2u www.*********.com
Interesting ports on 202.75.xxx.xxx:
Not shown: 99 filtered ports
PORT     STATE SERVICE       VERSION
3389/tcp open  microsoft-rdp Microsoft Terminal Service
Service Info: OS: Windows

Read data files from: /usr/local/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.
org/submit/ .
# Nmap done at Fri Feb  6 07:37:06 2009 -- 1 IP address (1 host up) scanned in 2
1.04 seconds

Wah, remote desktop :| , bagaimana jika kita mencoba melakukan koneksi?

ternyata bisa :matabelo: … selanjutnya terserah Anda. Whew, gara-gara modem itu, saya jadi lupa makan :|

Cara Kerja
Untuk melakukan tugas pengindentifikasian dan pengelompokan malware, YARA membutuhkan sejumlah rules yang dengan format tertentu. Keterangan lebih rinci bisa dibaca pada dokumentasi YARA. Secara singkat, format rules yang digunakan oleh YARA adalah seperti pada contoh berikut ini:

rule w32nebula
{
    strings:
      $tanda = {4E 65 FF FF DF FC 62 75 6C 61}

    condition:
      $tanda
}

pada contoh rule di atas, kita menggunakan pola dalam bentuk hexadecimal string. Pola itu sendiri kita dapatkan dengan membuka spesimen / sample malware nebula menggunakan hexeditor dan diperoleh dump seperti ini:

0000fb0: 40ec 21c3 e1ff ffff 6501 7369 4472 6976  @.!.....e.siDriv
0000fc0: 6d73 636e 7466 7931 0065 6d6f 7665 7365  mscntfy1.emovese
0000fd0: 4e65 ffff dffc 6275 6c61 0045 ffcc 3100  Ne....bula.E..1.

Setelah kita membuat rules, maka kita dapat langsung melakukan pengidentifikasian spesimen malware. Sebagai contoh, kita akan melakukan identifikasi pada sebuah direktori, maka kita dapat menggunakan perintah seperti ini (contoh berikut ini menggunakan OS GNU/Linux):

sh-3.2$ ./yara -r rules .
w32nebula   ./b.exe
w32nebula   ./a.exe
w32nebula   ./konon-ini-virus.exe

dan jika YARA dijalankan tanpa parameter, maka akan ditampilkan cara penggunaannya seperti pada contoh berikut ini:

bash-3.2$ ./yara
usage:  yara [ -t tag ] [ -n ] [ -g ] [ -s ] [ -r ] [ -v ] [RULEFILE...] FILE
options:
  -t <tag>          print rules tagged as <tag> and ignore the rest. This option can be used more than once.
  -n                print rules that doesn't apply (negate).
  -g                print tags.
  -s                print strings.
  -r                recursively search directories.
  -v                show version information.

Report bugs to: <vmalvarez[at]hispasec.com>

Penutup
Sekian dulu penjelasan singkat mengenai YARA. Satu hal yang perlu kita perhatikan adalah kunci utama aplikasi YARA yang terdapat pada rules yang kita buat, jadi kita dituntut untuk mengetahui struktur rules dengan baik dan itu bisa dicapai dengan membaca manual yang telah disediakan. Ok, semoga artikel ini bermanfaat, sampai jumpa di artikel berikutnya.

Ucapan Terima Kasih
Tuhan Yang Maha Esa, NitrouZ, dylavig, k0il, dracoola, D3L, dan Anda :)