NitrouZ Daily Blog - Another Resurrected Blog » Reversing

Berkenalan Dengan PCMAV Ragnarok 2

drubicza — Sun, 20 Jun 2010 05:11:31 +0000

Jadi tadi pagi saya sempat lihat-lihat PCMAV Ragnarok 2 yang masih dalam tahap Technical Prikitiew . Tampilannya kurang lebih seperti gambar di bawah ini:

Bisa terlihat jelas bahwa captionnya menggunakan string yang acakadut. No problem, we’re not invalid. Kita lewati saja captionnya dan langsung menuju ke window classnya. Sebagai PoC (Proof of Concept) berikut ini source aplikasi kecil yang bisa digunakan untuk mematikan proses ragnarok 2 cukup dengan mencari classnya. Assemble dan link menggunakan fasm.

 format PE GUI 4.0
 include 'win32a.inc'

;// code //
 push   .done
 push   dword [fs:0]
 mov    dword [fs:0],esp
 invoke FindWindow,szcls,0
 test   eax,eax
 jz     .done
 invoke GetWindowThreadProcessId,eax,dwpid
 invoke OpenProcess,PROCESS_TERMINATE,0,[dwpid]
 test   eax,eax
 jz     .done
 push   eax
 invoke TerminateProcess,eax,0
 call   [CloseHandle]
.done:
 pop    dword [fs:0]
 add    esp,4
 invoke ExitProcess,0

;// data //
 szcls db 'TFClnMain',0
 dwpid dd 0
 hproc dd 0

;// imports //
data import
 library kernel32,'kernel32.dll',user32,'user32.dll'
 include 'api/kernel32.inc'
 include 'api/user32.inc'
end data

Sekian dan terima kasih…

Mengenal Lebih Jauh PCMAV v3.0

Seputar Registrasi Smadav

drubicza — Sun, 20 Jun 2010 01:56:22 +0000

Disclaimer
Artikel ini hanya untuk tujuan pembelajaran semata. Penulis tidak bertanggungjawab atas penggunaan maupun penyalahgunaan artikel ini. *Use at your own risk*.

Pendahuluan
Anda mungkin sudah sering mendengar soal antivirus lokal bernama smadav. Kali ini kita akan membahas proteksi pada registrasi smadav, termasuk nantinya akan diberikan source code untuk membuat keygen smadav.

Proteksi Key Bajakan
Jika Anda memasukkan key bajakan pada smadav, maka otomatis smadav akan melakukan beberapa hal untuk menandai komputer Anda sebagai pengguna smadav bajakan. Berikut ini adalah cara yang ditempuh oleh smadav untuk membuat komputer Anda terdeteksi sebagai pembajak:

Mengcopy file ke sistem dengan nama PIRAsys.dll (huruf A nya adalah karakter delta khas smadav)
Menambahkan value lfPitchAndFamily (lagi-lagi menggunakan karakter delta) ke registry pada subkey HKCU\Software\Microsoft\Notepad
Menambahkan baris berisi # 241.241.241.241 antipiracyworld.com pada file %WINDIR%\system32\drivers\etc\hosts

Jadi jika Anda selalu gagal memasukkan key, maka coba Anda hapus file, registry entry dan entry pada file hosts sesuai dengan petunjuk di atas.

Membuat Keygen
Proses pembuatan key pada smadav sebenarnya tidak terlalu rumit. Yang perlu diperhatikan adalah smadav menggunakan nilai magic . Selain itu, smadav hanya mengambil karakter alphanumeric pada nama. Jadi untuk satu key, kita bisa menggunakan banyak kombinasi nama, misalnya "TKP Crew", "TKP|Crew", "TKP-Crew" semuanya menggunakan 1 key saja. Ok, untuk mempersingkat waktu, berikut ini source code keygen smadav (untuk perusahaan):

#include 
#include 

int
main()
{
  int i, j, len;
  char szname[50];
  unsigned int a[6] = {0, 0, 0, 99, 99, 00};
  const unsigned int magic[] = {
  0x26,0x38,0x39,0x39,
  0x63,0x0F,0x3A,0x0C,
  0x0D,0x11,0x13,0x12,
  0x58,0x3A,0x34,0x34,
  0x0C,0x0D,0x0C,0x39,
  0x34,0x62
  };

  printf(
  "-----------------------------\n"
  "Smadav 8.2 Keygen by TKP Crew\n"
  "-----------------------------\n"
  "Nama (tanpa tanda baca): ");
  fgets(szname, sizeof(szname)-1, stdin);
  strupr(szname);
  len = strlen(szname)-1;
  for (i = 0, j = 0; i < len; i++, j++)
  {
    if (j > 2) j = 0;
    a[j] += (szname[i] * len) % 0x64;
    if (a[j] > 0x64) a[j] %= 0x64;
  }
  for (i = 0; i < 5; i++) { a[5] = (a[5] + (a[i] * len)) % 0x16; }
  a[5] = magic[(int) a[5]];
  printf("Serial : %02lu%02lu%02lu%02lu%02lu%02lu\n",a[3],a[5],a[4],a[0],a[1],a[2]);
  return 0;
}

contoh keygen ketika dijalankan

C:\>key
-----------------------------
Smadav 8.2 Keygen by TKP Crew
-----------------------------
Nama (tanpa tanda baca): tkpcrew
Serial : 999999669943

C:\>

hasilnya adalah sebagai berikut

Bagi yang mau download keygen yang sudah jadi, silakan ke sini

Penutup
Demikianlah artikel kali ini, semoga bermanfaat. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, SBKJ, INRev, dan Anda yang sudah membaca artikel ini

Decrypting Morphost Antivirus Database

drubicza — Sun, 06 Jun 2010 12:48:09 +0000

Pendahuluan

Morphost adalah salah satu antivirus lokal yang cukup ternama dan situs resminya ada di sini. Untuk tutorial kali ini, saya menggunakan database morphost bulan Mei 2010 yang bisa diunduh di sini. Kita akan melakukan dekripsi untuk mengetahui format database morphost.

Langkah-langkah

Untuk mengetahui cara kerja morphost, kita terlebih dahulu melakukan sedikit debugging. Ok, jalankan Ollydbg lalu load morphost (pada artikel ini saya menggunakan morphost versi 7.1.0.0). Lihat bagian module yang diimport:

Executable modules
Base       Size       Entry      Name       File version    Path
00400000   001B5000   00401344   Morphost   7.01            H:\--snip--\Morphost ß.exe
73420000   00153000   73421AF8   MSVBVM60   6.00.9802       H:\WINDOWS\system32\MSVBVM60.DLL
77120000   0008B000   77121560   OLEAUT32   5.1.2600.5512   H:\WINDOWS\system32\OLEAUT32.dll
774E0000   0013D000   774FD0B9   ole32      5.1.2600.5512   H:\WINDOWS\system32\ole32.dll
77C10000   00058000   77C1F2A1   msvcrt     7.0.2600.5512   H:\WINDOWS\system32\msvcrt.dll
77DD0000   0009B000   77DD70FB   ADVAPI32   5.1.2600.5512   H:\WINDOWS\system32\ADVAPI32.dll
77E70000   00092000   77E7628F   RPCRT4     5.1.2600.5512   H:\WINDOWS\system32\RPCRT4.dll
77F10000   00049000   77F16587   GDI32      5.1.2600.5512   H:\WINDOWS\system32\GDI32.dll
77FE0000   00011000   77FE2126   Secur32    5.1.2600.5512   H:\WINDOWS\system32\Secur32.dll
7C800000   000F6000   7C80B63E   kernel32   5.1.2600.5512   H:\WINDOWS\system32\kernel32.dll
7C900000   000AF000   7C912C28   ntdll      5.1.2600.5512   H:\WINDOWS\system32\ntdll.dll
7E410000   00091000   7E41B217   USER32     5.1.2600.5512   H:\WINDOWS\system32\USER32.dll

Klik ganda pada baris msvbvm60.dll untuk menuju ke library tersebut. Setelah berada pada modul msvbvm60, tekan Ctrl + N lalu cari fungsi __vbaFileOpen seperti ini:

734F3B5D   .text      Export     __vbaFileOpen

Setelah ketemu, tekan F2 untuk mengaktifkan breakpoint. Tekan F9 untuk mulai menjalankan morphost. Kita akan menemukan breakpoint pertama, lanjutkan dengan menekan lagi F9. Pada breakpoint ke-2 ini akan terlihat bahwa morphost mengakses file kernell.dat pada direktori sistem (Windows\system32):

0012F9CC   00157384  UNICODE "H:\WINDOWS\system32\kernell.dat"

Nah, file tersebut adalah file database morphost yang sudah didekripsi oleh morphost ketika dijalankan. Sebenarnya, key yang digunakan oleh morphost bisa terlihat ketika proses debugging. Namun untuk menghemat waktu, keynya saya berikan saja yaitu:

Database Morphost Antivirus

Decryptor

Source code berikut ini bisa digunakan untuk mendekripsi database morphost (bulan Mei 2010).

#include 

#ifdef _MSC_VER
#pragma comment(lib,"kernel32")
#pragma comment(lib,"user32")
#pragma comment(linker,"/entry:main /subsystem:windows")
#endif

void
main()
{
  int i;
  char *p;
  HANDLE hfile;
  HGLOBAL hmem;
  DWORD dwsize, dwtemp;
  static const char *szkey = "Database Morphost Antivirus";

  if ((hfile = CreateFile("database.mrp", GENERIC_READ, 0, 0, OPEN_EXISTING, 0, 0)) == INVALID_HANDLE_VALUE)
  {
    MessageBox (NULL, "gagal membuka file database morphost", "error", MB_OK | MB_ICONERROR);
    ExitProcess(1);
  }
  dwsize = GetFileSize(hfile, NULL);
  hmem = GlobalAlloc(GPTR, dwsize);
  p = (char *) GlobalLock(hmem);
  ReadFile(hfile, p, dwsize, &dwtemp, NULL);
  CloseHandle(hfile);

  for (i = 0; i < (int) dwsize; i++) { p[i] ^= szkey[(i % 27)]; }

  if ((hfile = CreateFile("database.txt", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, 0, 0)) != INVALID_HANDLE_VALUE)
  {
    WriteFile(hfile, hmem, dwsize, &dwtemp, NULL);
    CloseHandle(hfile);
    MessageBox (NULL, "database morphost berhasil didekripsi", "info", MB_OK | MB_ICONINFORMATION);
  }
  GlobalUnlock(hmem);
  GlobalFree(hmem);
  ExitProcess(0);
}

Dan berikut ini adalah database morphost yang sudah didekripsi (bulan Mei 2010)

Database Mei 2010
Database Morphost Antivirus
by:Morphic Karta
Terima kasih kepada pengguna Morphost Antivirus yang telah mempercayakan Morphost sebagai guard komputer.
Kami masih tetap berusaha untuk memberikan yang terbaik, baik dari sisi kenyamanan penggunaan sampai keamanan komputer anda.
Kami juga mengharapkan agar masyarakat juga mau membantu kami dalam pengembangan database Morphost bulan Juni 2010. Kirim/upload sampel malware pada kami.
Anda bisa berikan link download malware kepada kami atau mengirimkannya secara langsung pada kami. Terima kasih.
10 Juni 2010
14
580
581
582
583
584
1003DC=DeleteRegedit=Maret 2009=Ringan
100630=Playboy-A=November 2009=Ringan
103218=Aidid=Tidak Ada Data=Sedang
10C968=OpenSystem=Tidak Ada Data=Sedang
1181AB=Decoil-Dropper=Tidak Ada Data=Parah
119723=FullHouse=Tidak Ada Data=Sedang
11DC95=Iwing=Tidak Ada Data=Sedang
...

Penutup

Demikianlah artikel singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, TKP crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini

Decrypting Smadav Loov Database

drubicza — Fri, 04 Jun 2010 02:25:01 +0000

Pendahuluan

Pada artikel kali ini akan dibahas cara mendekripsi file database smadav yang menggunakan format loov.

Mekanisme Dekripsi

Jadi secara sederhana, file database smadav.loov bekerja seperti ini:

cari ukuran file smadav.loov
ubah format ukuran ke DWORD dan ambil lower byte dari ukuran tersebut. misalnya ukuran file databasenya 28119 bytes, maka jika diubah menjadi DWORD (hex) menjadi 0x6DD7. nah, 0xD7 ini yang akan kita gunakan.
selanjutnya kita baca mulai dari offset 0×20 dari file smadav.loov lalu setiap byte kita XOR dengan offset byte tersebut kemudian di XOR lagi dengan byte pada langkah sebelumnya (dalam hal ini 0xD7).
ulangi sampai selesai

Proof of Concept

        format PE GUI 4.0
	include 'win32a.inc'

;[code]------------------------------------------------------------------------

	push	.done
	push	dword[fs:0]
	mov	dword[fs:0],esp
	invoke	CreateFile,szloov,GENERIC_READ,0,0,OPEN_EXISTING,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.done
	mov	[hfile],eax
	invoke	GetFileSize,[hfile],0
	mov	[dwsize],eax
	invoke	GlobalAlloc,GPTR,eax
	mov	[hmem],eax
	invoke	ReadFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	movzx	edx,byte[dwsize]
	mov	eax,20h
	mov	ebx,[hmem]
.blah:	mov	cl,byte[ebx+eax]
	xor	cl,al
	xor	cl,dl
	mov	byte[ebx+eax],cl
	inc	eax
	cmp	eax,dword[dwsize]
	jl	.blah
	invoke	CreateFile,szdump,GENERIC_WRITE,0,0,CREATE_ALWAYS,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.clean
	mov	[hfile],eax
	invoke	WriteFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	invoke	MessageBox,0,szmsg,szcap,MB_OK+MB_ICONINFORMATION
.clean: invoke	GlobalFree,[hmem]
.done:	pop	dword[fs:0]
	add	esp,4
	invoke	ExitProcess,0

;[data]------------------------------------------------------------------------

szloov	db "smadav.loov",0
szdump	db "smadav.dump",0
szcap	db "info",0
szmsg	db "decrypt selesai, silakan cek file smadav.dump",0
hmem	dd 0
hfile	dd 0
dwsize	dd 0
dwtemp	dd 0

;[imports]---------------------------------------------------------------------

data import
library kernel32,'kernel32.dll',\
	user32,'user32.dll'
include 'api/kernel32.inc'
include 'api/user32.inc'
end data

dan berikut ini snippet hasil dekripsi file smadav.loov yang ada pada smadav 8.2 beta

Penutup

Sekian artikel kali ini, semoga bermanfaat. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini

Backup Dump License Software Mahal Yang Pake Dongle

drubicza — Tue, 31 Mar 2009 02:38:03 +0000

Disclaimer :

Tutorial ini di buat hanya untuk cadangan apabila suatu saat dongle Anda rusak atau hilang, pembuat tutorial tidak bertanggung jawab atas penggunaan tutorial untuk kejahatan

Sebelum memulai tutorial, ada tools yang harus Anda miliki. Silakan download toolsnya di bawah ini, ada mirror IX dan IIX. Download at your own risk !

Rapidshare :

http://rapidshare.com/files/213585824/SenEmul2007-mjcoolz21.rar

Indowebster :

http://dl.iixbox.com/download.php?file=520&name=Sentinel.rar

CARA BACKUP AND RESTORE DUMP

Instal dulu Sentinel73.exe (di folder Instalador Sentinel). Restart
Pastikan LPT port ato USB konek. Kemudian buka “EDGESPRO11.EXE” di folder EDGE
Select the Sentinel, choose a filename for the result. DNG file and press “Dump and resolve.”
Pilih tab Sentinel. “Dump and Solve” Browse. simpen file *.DNG (dongle)

Tunggu sampai beberapa menit tergantung type apa dan berapa banyak retrieval algoritma yg dibutuhkan.

Neobit

Tips for Advance User :
The “Specify developers Id” and “Specify Write Password” options are for advanced users and it is not necessary.
“Specifying Developer ID” allows you to dump and solve from emulators without physical dongle.
“Specify Write Password” allows you to dump faster, if you know Cell 4 (write password).
Sekarang run SENTEMUL2007.EXE. Pilih TAB Driver > Press Now run SENTEMUL2007.EXE, go to “Driver” tab and press Install driver sampe brubah “Status: driver is installed.”
Install Driver
Buka TAB Emulator, Klik “Start service”. Jika bener maka kamu akan liat “SENTINEL Emulator Service is running”
Emulator
Open Dongles “tab and press the” Load dump “button, and then seek. DNG file created with EDGESPRO11.EXE
Load Dongle
Done and ENJOY !

Courtesy of mjcoolz21 @ CCPB #14

No Related Post

[Iseng] Gara-gara Sebuah Modem

drubicza — Sat, 07 Feb 2009 13:53:14 +0000

Disclaimer
Artikel ini hanya untuk tujuan pembelajaran semata, saya tidak bertanggungjawab atas penggunaan maupun penyalahgunaannya.

Pendahuluan
Beberapa saat yang lalu saya sempat iseng-iseng melakukan scanning terhadap pengguna speedy secara acak. Dan seperti yang kita tahu, ada banyak pengguna speedy yang tidak memperhatikan modemnya dan hanya dibiarkan dengan setting default. Nah, kebetulan saya tertarik dengan salah satu jenis modem yang sempat terlihat di log hasil scan. Maka dari itu, saya memutuskan untuk menulis artikel ini. Oh iya, sebenarnya artikel semacam ini sudah sangat banyak di Internet jadi saya mohon maaf yang sebesar-besarnya karena artikel ini mungkin repost ( biar repost yang penting happy ™ … )

Bagian PertamaX
Ok, langsung saja, karena settingnya masih default, jadi kita bisa langsung masuk ke panel administrasi modemnya. Tampilannya seperti ini:

Seperti yang bisa dilihat pada gambar, modemnya adalah Prolink tipe H9200 (mohon dikoreksi kalau salah). Terlihat juga pada gambar tersebut, setting modem ini cukup banyak dan lengkap. Ok sekarang kita lihat ke panel admin bagian port settings. Sebenarnya ini sudah bisa dilihat dari log scan tapi biar memastikan kita lihat lagi:

Ada tiga port yang terlihat di sana (HTTP, Telnet dan FTP). Ok, selanjutnya iseng-iseng lihat account sang pemilik di web telkomspeedy:

Wah, koneksinya unlimited … ok cukup acara melihat-lihatnya, kita kembali konsentrasi di modem. Seperti yang tadi kita lihat, ada 3 port TCP yang terlihat di panel administrasi modem dan kita sudah menggunakan salah satu yaitu HTTP. Sekarang kita akan mencoba melakukan koneksi menggunakan telnet dan hasilnya seperti pada log berikut ini:

bash-3.2$ telnet 125.164.xxx.xxx
Trying 125.164.xxx.xxx...
Connected to 125.164.xxx.xxx.
Escape character is '^]'.
 
                         *******************
                         Welcome to Vulcan
                         *******************
 
Conexant Inc., Software Release 2.5.060823m-J
Copyright (c) 2001-2003 by Conexant, Inc.
 
login: admin
password:
Login Successful
$help
Command        Description
-------        -----------
alias          To Alias a command
apply          Apply configuration/image file
commit         Commit the active config to the flash
create         Create a new entry of specified type
delete         Delete the specified entry
download       Download a file on to the Device
exit           To exit the CLI shell
get            Display info for the search
help           Provides help
list           List files
modify         Modify information for specified entry
passwd         To modify user password
ping           The normal ping command
prompt         Change the user prompt
reboot         Reboot the device
remove         Remove file
reset          Reset info for the specified entry
size           ATM Sizing Information
traceroute     The normal traceroute command
trigger        To set trigger
unalias        To undefine previously defined alias
verbose        Switch ON/OFF the verbose mode
 
$exit
Connection closed by foreign host.

Dari log di atas, bisa terlihat jelas bannernya. Versi software yang digunakan serta instruksi yang didukung. Untuk selanjutnya saya tidak akan membahas lebih jauh mengenai fungsi dari setiap instruksi tersebut, berhubung koneksi saya senin kamis alias tidak stabil ( mungkin lain kali akan coba saya bahas ). Selanjutnya kita akan mencoba koneksi menggunakan ftp dan hasilnya kurang lebih seperti pada log berikut ini:

bash-3.2$ ftp 125.164.xxx.xxx
Connected to 125.164.xxx.xxx.
220 FTP Server (Version 1.0) ready.
331 User name okay, need password.
230 User logged in, proceed.
Remote system type is WINDOWS.
ftp> ls
200 Command okay.
150 File status okay; about to open data connection.
drwxrwxrwx   1 owner    group               0 Mar 28  1988 home
226 Closing data connection.  Requested file action successful.
ftp> cd home
250 Requested file action okay, completed.
ftp> ls
200 Command okay.
150 File status okay; about to open data connection.
drwxrwxrwx   1 owner    group               0 Mar 28  1988 .
drwxrwxrwx   1 owner    group               0 Mar 28  1988 ..
-rwxrwxrwx   1 owner    group            1566 Mar 28  1988 commitedcfg.cmt
-rwxrwxrwx   1 owner    group            1003 Mar 28  1988 getcfg.cfg
-rwxrwxrwx   1 owner    group            4096 Mar 28  1988 TEBoot.dat
-rwxrwxrwx   1 owner    group           16384 Mar 28  1988 TEFacs.dat
drwxrwxrwx   1 owner    group               0 Mar 28  1988 surf
drwxrwxrwx   1 owner    group               0 Mar 28  1988 ssh
drwxrwxrwx   1 owner    group               0 Mar 28  1988 sag
drwxrwxrwx   1 owner    group               0 Mar 28  1988 misc
drwxrwxrwx   1 owner    group               0 Mar 28  1988 Licenses
drwxrwxrwx   1 owner    group               0 Mar 28  1988 l2wall
drwxrwxrwx   1 owner    group               0 Mar 28  1988 igd
drwxrwxrwx   1 owner    group               0 Mar 28  1988 hag
drwxrwxrwx   1 owner    group               0 Mar 28  1988 dslf_igd
drwxrwxrwx   1 owner    group               0 Mar 28  1988 dsl
drwxrwxrwx   1 owner    group               0 Mar 28  1988 bridge
drwxrwxrwx   1 owner    group               0 Mar 28  1988 adet
-rwxrwxrwx   1 owner    group               0 Mar 28  1988 initerror.log
-rwxrwxrwx   1 owner    group           13723 Mar 28  1988 commitedcfg.cfg
226 Closing data connection.  Requested file action successful.
ftp> type binary
200 Command okay.
ftp> get TEBoot.dat
local: TEBoot.dat remote: TEBoot.dat
200 Command okay.
150 File status okay; about to open data connection.
226 Closing data connection.  Requested file action successful.
4096 bytes received in 1.02 secs (3.9 Kbytes/sec)
ftp> get TEFacs.dat
local: TEFacs.dat remote: TEFacs.dat
200 Command okay.
150 File status okay; about to open data connection.
226 Closing data connection.  Requested file action successful.
16384 bytes received in 2.89 secs (5.5 Kbytes/sec)
...
ftp> bye
221 Service closing control connection.  Logged out if appropriate.

Pada log di atas terlihat struktur direktori dan file yang terdapat di dalam modem tersebut. Dari sekian banyak file, saya hanya men-download beberapa file ( seperti yang terlihat *dan tidak terlihat* pada log ). Tujuan men-download file-file tersebut adalah untuk dipelajari. Ok, sekarang kita coba periksa file "TEBoot.dat" ( 4096 bytes ) :

bash-3.2$ strings TEBoot.dat
...
Starting POST - V5.0
SDRAM -
Loader Checksum -
 Passed
 Failed
>00< Boot Error

Jika diperhatikan sejenak, sepertinya file tersebut adalah bootloader selain karena namanya sendiri mengandung kata boot. Ok, sekarang kita coba periksa file "TEFacs.dat" ( 16384 bytes ) :

bash-3.2$ strings TEFacs.dat
FACTcreate user name ***** passwd ***** root
modify system logthresh 1
size maxvc 8 max1483vc 8 maxppe 8
modify nbsize maxipsess 192
create ethernet intf ifname eth-0 ip 192.168.1.1 mask 255.255.255.0 inside
create usb intf ifname usb-0 ip 192.168.1.2 mask 255.255.255.0 inside
modify dsl config adsl2plusauto annex adsl2plus advcapability annexaall memorymode enable
modify dsl config autosraenable disable profile main
create atm port ifname atm-0 maxvc 8
create atm trfdesc trfindex 0 NOCLP_NOSCR
create atm vc intf ifname aal5-0 lowif atm-0 vpi 0 vci 35
create atm vc intf ifname aal5-1 lowif atm-0 vpi 8 vci 81
create atm vc intf ifname aal5-2 lowif atm-0 vpi 1 vci 33 vcmux
create atm vc intf ifname aal5-3 lowif atm-0 vpi 8 vci 35
...

Dari snippet di atas, kita bisa simpulkan sementara bahwa file tersebut adalah factory default settings. Selain kedua file tersebut, masih ada beberapa file ".sh" yang sempat saya download beserta dengan file konfigurasi ( tapi saya tidak akan membahasnya saat ini ).
Akhirnya karena penasaran, saya lalu membuka situs prolink untuk mencari update firmware untuk dipelajari. Dan saya beruntung bisa menemukan firmware dan manual yang saya cari, yaitu untuk tipe H9200 tersebut. Setelah berjuang dengan koneksi senin kamis, akhirnya selesai juga di download. Berikut ini daftar file yang saya download :

bash-3.2$ ls -lh
total 4.7M
-rw-r--r-- 1 drubicza users 1.7M Mar  8  2007 TEImage-H9200-060823c4-1P.bin
-rw-r--r-- 1 drubicza users 1.7M Mar  8  2007 TEImage-H9200-060823m-1P.bin
-rw-r--r-- 1 drubicza users 792K Mar  8  2007 Upgrade.exe
-rw-r--r-- 1 drubicza users 483K Mar  9  2007 technote_upgrade_guide.pdf
-rw-r--r-- 1 drubicza users  185 Mar  8  2007 upgrade.ini

Seperti biasa, kita akan mencoba mencari petunjuk dari file bin[ary] tersebut.

bash-3.2$ strings TEImage-H9200-060823m-1P.bin | more
...
Starting POST - V5.0
SDRAM -
Loader Checksum -
 Passed
 Failed
>00< Boot Error
IMG1
F~MANU
123456789abcdx
Unused
VIKING-SPARC
...
Loader (V5.00) Self-Extracting ...
 Done
 Failed
Fatal error occured, system halted ...
Decompressing UMON (V1.62) ...
 Done
1.1.3
...
 inflate 1.1.3 Copyright 1995-1998 Mark Adler

Ok, dari snippet di atas, kita mendapat beberapa petunjuk lagi misalnya petunjuk kompresi yang digunakan dan yang utama ada uMon. Nah, kita cari tahu dulu apa itu uMon. Setelah mencari ke sana kemari, akhirnya ketemu. Secara singkat, uMon adalah:

MicroMonitor is a free embedded system boot platform centered around an extensible embedded flash file system called TFS. With TFS intrinsic to the monitor, all data access can be name based instead of address based…

Tidak perlu menunggu lama, langsung saja sourcenya saya download untuk dipelajari.

Bersambung…
Tujuan awal ke-iseng-an ini sebenarnya untuk menambahkan "fitur" baru atau malah membuat custom firmware yang bisa di-upload ke modem tersebut dengan aman. Namun, dengan beberapa pertimbangan akhirnya saya memutuskan untuk melanjutkan artikel ini di lain kesempatan, karena:

Dari kemarin saya belum makan.
Saya masih harus banyak belajar soal firmware khususnya yang digunakan oleh modem tersebut.
Modem itu bukan punya saya, jadi kalau firmwarenya salah, bisa gawat.
Unsur-X yang membuat saya belum bisa melanjutkan artikel ini.

Selain yang saya jelaskan di atas, sebenarnya masih banyak hal yang bisa dilakukan pada modem tersebut. Misalnya belajar snmp karena yang saya perhatikan dari panel administrasi modemnya terdapat menu snmp

Terima Kasih
Tuhan Yang Maha Esa, NitrouZ, dylavig, k0il, D3L (terima kasih atas dukungannya), pinczakko, kris kaspersky, dan Anda yang telah membaca artikel iseng ini

Dibalik Layar
Sebenarnya ada kejadian lucu. Waktu sedang asyik membaca tech note untuk upgrade firmware dari Prolink, saya iseng-iseng lihat properties filenya:

Ternyata dibuat sebagai administrator. Akhirnya saya bertanya-tanya, mungkinkah …? dan akhirnya saya memutuskan untuk melakukan scanning dan hasilnya seperti pada log berikut:

# Nmap 4.76 scan initiated Fri Feb  6 07:36:46 2009 as: nmap -v -n -sS -sV -F -T4 -oN pro2u www.*********.com
Interesting ports on 202.75.xxx.xxx:
Not shown: 99 filtered ports
PORT     STATE SERVICE       VERSION
3389/tcp open  microsoft-rdp Microsoft Terminal Service
Service Info: OS: Windows

Read data files from: /usr/local/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.
org/submit/ .
# Nmap done at Fri Feb  6 07:37:06 2009 -- 1 IP address (1 host up) scanned in 2
1.04 seconds

Wah, remote desktop , bagaimana jika kita mencoba melakukan koneksi?

ternyata bisa :matabelo: … selanjutnya terserah Anda. Whew, gara-gara modem itu, saya jadi lupa makan

YARA, Aplikasi Untuk Kolektor Malware

drubicza — Wed, 04 Feb 2009 09:19:11 +0000

Pendahuluan
YARA adalah aplikasi yang ditujukan untuk membantu para kolektor malware (baik untuk tujuan penelitian maupun sekedar koleksi pribadi) dalam mengidentifikasi dan mengelompokkan spesimen malware berdasarkan ciri-ciri yang dimiliki oleh malware tersebut. YARA bisa digunakan pada berbagai platform seperti Windows®, Linux dan Mac OS X, serta dapat digunakan melalui command-line interface maupun melalui script python dengan perantara ekstensi yara-python. Sebagai catatan, YARA memerlukan PCRE sebagai dependensi, tapi jangan khawatir karena mayoritas distro GNU/Linux dan *BSD sudah menyertakan dependensi tersebut. Untuk lebih jelasnya, bisa dibaca pada situs resmi YARA.

Cara Kerja
Untuk melakukan tugas pengindentifikasian dan pengelompokan malware, YARA membutuhkan sejumlah rules yang dengan format tertentu. Keterangan lebih rinci bisa dibaca pada dokumentasi YARA. Secara singkat, format rules yang digunakan oleh YARA adalah seperti pada contoh berikut ini:

rule w32nebula
{
    strings:
      $tanda = {4E 65 FF FF DF FC 62 75 6C 61}

    condition:
      $tanda
}

pada contoh rule di atas, kita menggunakan pola dalam bentuk hexadecimal string. Pola itu sendiri kita dapatkan dengan membuka spesimen / sample malware nebula menggunakan hexeditor dan diperoleh dump seperti ini:

0000fb0: 40ec 21c3 e1ff ffff 6501 7369 4472 6976  @.!.....e.siDriv
0000fc0: 6d73 636e 7466 7931 0065 6d6f 7665 7365  mscntfy1.emovese
0000fd0: 4e65 ffff dffc 6275 6c61 0045 ffcc 3100  Ne....bula.E..1.

Setelah kita membuat rules, maka kita dapat langsung melakukan pengidentifikasian spesimen malware. Sebagai contoh, kita akan melakukan identifikasi pada sebuah direktori, maka kita dapat menggunakan perintah seperti ini (contoh berikut ini menggunakan OS GNU/Linux):

sh-3.2$ ./yara -r rules .
w32nebula   ./b.exe
w32nebula   ./a.exe
w32nebula   ./konon-ini-virus.exe

dan jika YARA dijalankan tanpa parameter, maka akan ditampilkan cara penggunaannya seperti pada contoh berikut ini:

bash-3.2$ ./yara
usage:  yara [ -t tag ] [ -n ] [ -g ] [ -s ] [ -r ] [ -v ] [RULEFILE...] FILE
options:
  -t           print rules tagged as  and ignore the rest. This option can be used more than once.
  -n                print rules that doesn't apply (negate).
  -g                print tags.
  -s                print strings.
  -r                recursively search directories.
  -v                show version information.

Report bugs to:

Penutup
Sekian dulu penjelasan singkat mengenai YARA. Satu hal yang perlu kita perhatikan adalah kunci utama aplikasi YARA yang terdapat pada rules yang kita buat, jadi kita dituntut untuk mengetahui struktur rules dengan baik dan itu bisa dicapai dengan membaca manual yang telah disediakan. Ok, semoga artikel ini bermanfaat, sampai jumpa di artikel berikutnya.

Ucapan Terima Kasih
Tuhan Yang Maha Esa, NitrouZ, dylavig, k0il, dracoola, D3L, dan Anda

Apa perlu OS Linux ada AntiVirus ?

Firmware-Level Vulnerabilities

drubicza — Tue, 20 Jan 2009 22:48:24 +0000

Tidak usah panjang lebar . Langsung saja posting ini hanya untuk sharing presentasi yang sudah agak lama dari Pinczakko, silakan di download di sini. Silakan dibaca, semoga bisa bermanfaat (Password : HSN) *** CaSe sEnsiTiVe ***

Mirror :

Firmware Vuln

Reversing di GNU/Linux

drubicza — Sun, 23 Nov 2008 22:41:26 +0000

Disclaimer

For Educational Purpose Only. Penulis tidak bertangungjawab atas penggunaan ataupun penyalahgunaan tutorial ini. Use at your own risk.

Latar Belakang

Tutorial ini dibuat karena kebetulan penulis tidak menggunakan OS Proprietary, dan beberapa saat yang lalu harus melakukan reversing terhadap sebuah aplikasi sehingga mau tidak mau, reversing tersebut dilakukan menggunakan GNU/Linux.

Target

PDF Camp (http://www.verypdf.com/)

Tools

UPX (http://upx.sf.net/)
IDA Pro versi Linux (http://www.hex-rays/idapro/)
Setjangkir kopi pahit (*optional bikin sendiri)

Langkah-langkah

Install pdf camp di komputer yang menggunakan Windows(R)
Browse ke direktori tempat aplikasinya ter-install misalnya “\Program Files\verypdf\pdfcamp”
Cari sub direktori pada direktori instalasi tersebut yang namanya “drivers”
Pada direktori drivers, terdapat file bernama “pdfui.dll”. nah, file tersebut yang akan kita reverse karena di dalamnya berisi intan dan permata…weleh maksudnya di dalam file tersebut terdapat fungsi registrasi
Ok, sekarang kita akan mereverse “pdfui.dll” di GNU/Linux, jadi langkah berikut dilakukan di GNU/Linux.
File “pdfui.dll” dikompres menggunakan UPX, jadi kita terlebih dahulu harus melakukan dekompresi dengan perintah:

upx -d pdfui.dll
Setelah dekompresi selesai, maka kita akan me-load “pdfui.dll” ke IDA Pro untuk selanjutnya di-disassembly. Untuk itu, gunakan perintah:

idal pdfui.dll
Selanjutnya perhatikan jendela disassembly IDA Pro. Kita akan berada pada entry point “pdfui.dll”. Scroll sedikit ke bawah, hingga menemukan string yang akan ditampilkan pada messagebox jika registrasi berhasil. String tersebut adalah:

“Thank you selected our products.”
String yang kita cari berada pada offset 0x902062EB. Selanjutnya kita scroll ke atas lagi untuk mencari fungsi yang menghitung serial serta BAD jump yang akan menampilkan messagebox jika registrasi gagal.
Pada offset 0×90206268 kita bisa melihat BAD jump yang akan menampilkan message box jika registrasi gagal.
Nah, ini dia messagebox yang akan ditampilkan jika registrasi gagal
Ok, sekarang kita kembali ke BAD jump yang tadi. Di atas BAD jump tersebut ada CALL ke fungsi pengecekan pertama.
Tekan enter untuk mengikuti arah instruksi CALL tersebut, maka kita akan sampai pada pengecekan pertama. Fungsi pengecekan ini akan memeriksa jumlah karakter pada serial yang kita masukkan. Serial yang valid adalah jika jumlah karakternya lebih dari 13 karakter.
Setelah pengecekan berhasil (jumlah karakter pada serial lebih dari 13 karakter) maka kita akan dibawa ke fungsi pengecekan serial selanjutnya yaitu dengan adanya instruksi CALL ke offset 0×90208530

Nah pada offset tersebut terdapat fungsi / subrutin berikut ini ( lengkap dengan penjelasan yang asal-asalan ) :

;
; +--------------------------------------------------------------+
; | This file is generated by The Interactive Disassembler (IDA) |
; | Copyright (c) 2004 by DataRescue sa/nv,                      |
; +--------------------------------------------------------------+

; --------------- S U B	R O U T	I N E ---------------------------------------

sub_90208530    proc near        ; CODE XREF: sub_902085C0+21^p

var_18  = dword ptr -18h                        ; buffer lokal
var_C   = dword ptr -0Ch                        ; buffer lokal
arg_0   = dword ptr  4                          ; parameter 1 (serial)

        sub    esp, 18h                         ; alokasi buffer lokal
        push   esi                              ; simpan esi
        mov    esi, [esp+1Ch+arg_0]             ; esi = parameter 1
        lea    edx, [esp+1Ch+var_18]            ; edx = buffer lokal
        push   edi                              ; simpan edi
        mov    al, [esi]                        ; al = serial[0] ?
        mov    cl, [esi+1]                      ; cl = serial[1] ?
        mov    byte ptr [esp+20h+var_C], al     ; simpan serial[0]
        xor    al, al                           ; kosongkan al
        push   edx                              ; edx = parameter untuk atoi
        mov    byte ptr [esp+24h+var_C+1], al   ; isi buffer lokal dengan al
        mov    byte ptr [esp+24h+var_18], cl    ; isi buffer lokal dengan cl
        mov    byte ptr [esp+24h+var_18+1], al  ; isi buffer lokal dengan al
        call   atoi                             ; ubah edx menjadi integer/bilangan
        mov    edi, eax                         ; edi = serial[1]
        lea    eax, [esp+24h+var_C]             ; eax = serial[0]
        push   eax                              ; eax = parameter untuk atoi
        call   atoi                             ; ubah eax menjadi integer/bilangan
        add    edi, eax                         ; edi = serial[1] + serial[0]
        add    esp, 8                           ; seimbangkan stack
        cmp    edi, 8                           ; serial[0] + serial[1] = 8
        jz     short loc_9020857A               ; jika benar, *LANJUTKAN*
        pop    edi                              ; kembalikan edi
        xor    eax, eax                         ; eax = 0 *SERIAL SALAH*
        pop    esi                              ; kembalikan esi
        add    esp, 18h                         ; seimbangkan stack
        retn   4                                ; keluar dari fungsi
; ---------------------------------------------------------------------------

loc_9020857A:                ; CODE XREF: sub_90208530+3E^j
        cmp    byte ptr [esi+2], 56h            ; serial[2] = 56h = ASCII("V")
        jz     short loc_9020858A               ; jika benar, *LANJUTKAN*
        pop    edi                              ; kembalikan edi
        xor    eax, eax                         ; eax = 0 *SERIAL SALAH*
        pop    esi                              ; kembalikan esi
        add    esp, 18h                         ; seimbangkan stack
        retn   4                                ; keluar dari fungsi
; ---------------------------------------------------------------------------

loc_9020858A:                ; CODE XREF: sub_90208530+4E^j
        cmp    byte ptr [esi+3], 32h            ; serial[3] = 32h = ASCII("2")
        jz     short loc_9020859A               ; jika benar, *LANJUTKAN*
        pop    edi                              ; kembalikan edi
        xor    eax, eax                         ; eax = 0 *SERIAL SALAH*
        pop    esi                              ; kembalikan esi
        add    esp, 18h                         ; seimbangkan stack
        retn   4                                ; keluar dari fungsi

loc_9020859A:                ; CODE XREF: sub_90208530+5E^j
        cmp    byte ptr [esi+5], 31h            ; serial[5] = 31h = ASCII("1")
        jz     short loc_902085AA               ; jika benar, *LANJUTKAN*
        pop    edi                              ; kembalikan edi
        xor    eax, eax                         ; eax = 0 *SERIAL SALAH*
        pop    esi                              ; kembalikan esi
        add    esp, 18h                         ; seimbangkan stack
        retn   4                                ; keluar dari fungsi
; ---------------------------------------------------------------------------

loc_902085AA:                ; CODE XREF: sub_90208530+6E^j
        mov    cl, [esi+0Fh]                    ; cl = serial[0x0F]
        xor    eax, eax                         ; eax = 0
        cmp    cl, 38h                          ; serial[0x0F] = 38h = ASCII("8")
        pop    edi                              ; kembalikan edi
        setz   al                               ; set al=1 jika serial benar
        pop    esi                              ; kembalikan esi
        add    esp, 18h                         ; seimbangkan stack
        retn   4                                ; keluar dari fungsi
sub_90208530   endp

; ---------------------------------------------------------------------------

Bagi yang tidak hafal ASCII hexcode, bisa menggunakan python untuk mencari tahu karakter yang ada pada perhitungan tersebut.
Ok, jadi sampai di sini kita bisa mengambil kesimpulan bahwa:
- jumlah karakter pada serial adalah 16 karakter
- angka pada karakter pertama dan kedua jika dijumlahkan nilainya 8
- karakter ke-3 pada serial adalah huruf “V”
- karakter ke-4 pada serial adalah angka “2″
- karakter ke-6 pada serial adalah angka “1″
- karakter ke-16 (terakhir) pada serial adalah angka “8″
- contoh serial yang valid adalah: 62V2x1xxxxxxxxx8
Sekian tutorial kali ini, mohon dikoreksi jika ada kesalahan khususnya pada keterangan kode disassembly. Dan maaf jika tutorial kali ini cukup membingungkan karena memang tutorial ini bukan ditujukan untuk pemula

Ucapan Terima Kasih

Tuhan Yang Maha Esa
NitrouZ, dylavig, 4NV|E, movzx, lucuBRB, orakanggo, pinczakko, hddstudio, segenap crew SBKJ dan InRev, serta semuanya yang tidak sempat saya sebutkan satu persatu, dan juga Anda yang telah membaca tutorial sederhana ini >-