Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - descrates

Halaman: [1] 2 3 ... 15
1
Teknologi Antivirus / RunPE
« pada: Juni 23, 2017, 06:52:52 AM »
apa itu RunPE? gampangnya: run PE via PE, drop to RAM without drop to disk
soalnya ada malware yang pake teknik ginian, lumayan kerenlah
kelemahannya nggak working kalo pake jenis yang sekali jalan, contohnya UPX
penjelasan panjang lebarnya ada juga kok, tapi malesin
http://www.adlice.com/runpe-hide-code-behind-legit-process/
nah, beberapa tahun yang lalu ini menjadi viral, terus ada anti-RunPE
https://github.com/gubed/RunPE-Shield
tapi karena gw nggak interest ya sudahlah, toh sudah didetect sama AV interlokal
terus back to several month ago, untuk lebih jelasnya ke sini
https://github.com/hasherezade/demos



tapi paling males kalo harus compile

2
Delphi/Pascal / [Delphi] How to renaming classname TApplication?
« pada: Juni 19, 2017, 12:48:47 PM »
caranya gampang-gampang susah, contoh kasus pada delphi 7

1. kita harus compile ulang segala macam *.pas yang kita load
2. kita rename dulu, string TApplication pada Forms.pas (kuncinya ini)
3. misalnya kita akan ganti menjadi Tarzan, buka notepad terus rename all
4. cari string TApplication pada *.pas lain yang mengikuti, misalnya controls.pas
5. selesai dan dijamin berhasil

3
Website + SEO / Disabling WebRTC? Apa harus?
« pada: Juni 04, 2017, 03:06:26 PM »
sekarang ini ramai-ramai men-disable webrtc karena alasan privasi, kenapa?
webrtc bikin orang bisa melacak posisi kita kalo pake internet kabel ato based BTS, umumnya digunakan untuk memonitor orang yang pergi-pergi ato stay di kamar aja pake desktop, nah biasanya buat survei ato apaan kek, nah karena sangkutannya dengan privasi
 tadi maka webrtc di-disable (terlalu paranoid) dari chromium custom sampai addons, kalo dari gw sih memandangnya begini

1. kebanyakan implementasi disable webrtc di desktop, tapi buat mobile jarang ada karena alasan buat videocall, skype, dll
2. orang kadang tidak aware, jadilah "webrtc ada ato tidak ya gak ngaruh" yang penting bisa WA, FB, etc
3. makin maju teknologi makin kita tidak ada privasi

maka daripada disable webrtc lebih baik tahu arah webrtc, mungkin gw lebih cenderung kapada sisi lain kita, yaitu ada pilihan untuk lebih tidak menggunakan WA, FB, videocall, skype, dll dan browsing dengan browser yang sudah di-hardening

jangan lupa IMEI random + gonta-ganti simcard

4
Teknologi Antivirus / List software buat analisa malware
« pada: Mei 26, 2017, 10:33:30 AM »
berikut daftar tool buat analisa malware dari komunitas

silakan pull request kalau mau menambahi, hehehe
meskipun dalam praktek rada "susah" buat pakai tools-nya
misalnya pada spidermonkey

https://github.com/rshipp/awesome-malware-analysis





5
C/C++ / header yang umum di C/C++
« pada: Mei 23, 2017, 09:55:50 AM »
di C/C++ kita butuh header, intinya buat landasan platform, boleh dibilang C/C++ adalah bahasa gak jelas
misal untuk posix bisa dilihat di C POSIX library https://en.wikipedia.org/wiki/C_POSIX_library

nah ini berikut ini keterangan buat header lainnya

1. stdafx.h
    nah ini standar msvc, kenapa? header setengah wajib di msvc
    msvc sendiri merupakan cabang paling populer dari C/C++
    kelebihannya kita dapat "jungkir balik" dalam coding

2. windows.h dan unistd.h
    header standar untuk API OS Windows dan UNIX
    kalau ada kata windows.h berarti ini code buat OS Windows

3. conio.h
    console input output, keterangan lanjutan silakan buka code-nya
    jaman DOS dulu
   
4. stdio.h & iostream
    hampir mirip-mirip, dalam praktek iostream sudah jarang dipakai
    tapi iostream lebih aman sih

5. string.h
    ini buat operasi string, yang didepannya ada "str"-nya
    meskipun begitu kadang, "str" yang didukung kurang lengkap
    misalnya pada kasus strcat

6. cstdlib.h
    agak ambigu juga, karena dalam praktek rada janggal
    tapi masih berguna buat jalan pintas, misal untuk exit(0)

7. time.h dan ctime.h
    ini buat waktu

8. chrono dan thread
    ini buat bikin multithreading buat c++11

9. sstream dan fstream
    string based streams dan file based streams
    jalan pintas buat operasi string dan file
    misal bikin keylogger, scanner, etc

10. istream dan ostream
    untuk input dan output, sebenarnya mirip iostream
    tapi biasanya autoload


     

6
Programming / trik bikin stealth via enigma virtualbox
« pada: Mei 20, 2017, 09:13:14 AM »
kenapa enigma virtualbox? ya kalo enigma protector kan bayar
secara yang kompleks emang pake enigma protector
biarpun gaje tapi ini trik biar kita stealth
ini masuk post production, ya vendor games kan kadang pake

1. kita butuh launcher sederhana, gimana bikinnya?
    gw udah posting sebelumnya di sub forum c/c++
    nah trik akan kita mainkan, hehehe
    berikan perintah untuk membuka "svchost.exe" ato "cmd.exe"

    kenapa "svchost.exe"? ya biar keren aja (sebenernya nggak gitu)
    alesannya gw buat narget winxp,  kalo win10 beda lagi
    setelah launcher jadi ya kasih nama, misal "a.exe"

2. siapkan apps kita, misal "zumby.exe" nah kita rename
    tidak lain tidak bukan menjadi "svchost.exe"

    jangan lupa lengkapi zumby.exe dengan anti-cheat
    sampai anti-inject dan protect process juga
    anti-debugger, anti-kill, terserahlah

3. kita masuk ke enigma virtualbox
    masukan "a.exe" sehingga nanti muncul "a_boxed.exe"

    add file, masukan "svchost.exe" (zumby.exe)
    pilih absolute drive >>> C:
    edit ganti virtual path C: ke C:\WINDOWS\system32\
    sehingga virtual path jadi C:\WINDOWS\system32\svchost.exe
    dan juga dll semuanya ke C:\WINDOWS\system32\

4. process, a_boxed.exe akan muncul
   
======================================

pada saat kita run "a_boxed.exe", keajaiban akan terjadi
dimana akan muncul satu process "svchost.exe"
dan isinya adalah apps milik kita, hehehe


rahasianya terletak di virtualisasinya
meskipun ngedrop temporer exe ke folder temp
tapi kalo kita find file by proc maka akan spoofed

updated

7
Teknologi Antivirus / Sinkhole-ing
« pada: Mei 18, 2017, 06:56:42 AM »
Apakah itu? mungkin baru ngeh pas muncul wannacry?
intinya kita menenggelamkan semua DNS yang terkait dengan worm/virus
seberapa penting? kurang tahu juga, tergantung C&C-nya (server komando & kontrol)

===============================================

buat sinkhole-ing, worm/virus awalnya dimasukan ke VM terus dibedah, diteliti
dicari menyebarnya ke mana saja, konek ke server mana, etc
server indukan di mana, server anakan di mana
outputnya ada 3 jenis

1. hijack/kill DNS-nya (database DNS ada di amerika sana), DDoS server-nya
2. block di "hostfile" pada local computer (biasanya kalau mau kilat)
3. interupt via program (non-permanent)

dengan begitu "harapannya" penyebarannya akan melambat, tapi tidak selalu
dari situ ada istilah kill switch aka memutus saklar aka memutus koneksi
dibandingkan wannacry sebenernya yang gw cemas kalo 3 jenis malware gabung
gameover zeus + ctb-locker + sality = ancur nggak ancur deh

1. file dokumen terkunci
2. PC jadi zombie dan ikut nyebarin
3. file exe jadi rusak semua

8
Teknologi Antivirus / Shellcode
« pada: Mei 17, 2017, 02:19:34 PM »
apa itu shellcode? mudahnya potongan code "binary" yang work
yang penting itu

misal untuk process protect windows x86 (gw ambil dari internet)

#include <windows.h>
#include <stdio.h>
 
unsigned char Shellcode[] = {
  0x60, 0x9c, 0x54, 0x5e, 0xfc, 0xe8, 0x82, 0x00, 0x00, 0x00, 0x60, 0x89,
  0xe5, 0x31, 0xc0, 0x64, 0x8b, 0x50, 0x30, 0x8b, 0x52, 0x0c, 0x8b, 0x52,
  0x14, 0x8b, 0x72, 0x28, 0x0f, 0xb7, 0x4a, 0x26, 0x31, 0xff, 0xac, 0x3c,
  0x61, 0x7c, 0x02, 0x2c, 0x20, 0xc1, 0xcf, 0x0d, 0x01, 0xc7, 0xe2, 0xf2,
  0x52, 0x57, 0x8b, 0x52, 0x10, 0x8b, 0x4a, 0x3c, 0x8b, 0x4c, 0x11, 0x78,
  0xe3, 0x48, 0x01, 0xd1, 0x51, 0x8b, 0x59, 0x20, 0x01, 0xd3, 0x8b, 0x49,
  0x18, 0xe3, 0x3a, 0x49, 0x8b, 0x34, 0x8b, 0x01, 0xd6, 0x31, 0xff, 0xac,
  0xc1, 0xcf, 0x0d, 0x01, 0xc7, 0x38, 0xe0, 0x75, 0xf6, 0x03, 0x7d, 0xf8,
  0x3b, 0x7d, 0x24, 0x75, 0xe4, 0x58, 0x8b, 0x58, 0x24, 0x01, 0xd3, 0x66,
  0x8b, 0x0c, 0x4b, 0x8b, 0x58, 0x1c, 0x01, 0xd3, 0x8b, 0x04, 0x8b, 0x01,
  0xd0, 0x89, 0x44, 0x24, 0x24, 0x5b, 0x5b, 0x61, 0x59, 0x5a, 0x51, 0xff,
  0xe0, 0x5f, 0x5f, 0x5a, 0x8b, 0x12, 0xeb, 0x8d, 0x5d, 0x68, 0x49, 0x47,
  0xc6, 0x62, 0xff, 0xd5, 0x50, 0x6a, 0x00, 0x68, 0xff, 0x0f, 0x1f, 0x00,
  0x68, 0xee, 0x95, 0xb6, 0x50, 0xff, 0xd5, 0x89, 0xc3, 0x6a, 0x00, 0x68,
  0x70, 0x69, 0x33, 0x32, 0x68, 0x61, 0x64, 0x76, 0x61, 0x54, 0x68, 0x4c,
  0x77, 0x26, 0x07, 0xff, 0xd5, 0x68, 0x44, 0x3a, 0x50, 0x00, 0x83, 0xec,
  0x04, 0x6a, 0x00, 0x8d, 0x44, 0x24, 0x04, 0x50, 0x6a, 0x01, 0x8d, 0x44,
  0x24, 0x10, 0x50, 0x68, 0x9a, 0x63, 0x6f, 0xda, 0xff, 0xd5, 0x6a, 0x04,
  0x53, 0x68, 0xdb, 0xf8, 0x3a, 0xd6, 0xff, 0xd5, 0x89, 0xf4, 0x61, 0x9d,
  0xc3
};
 
 
 
int main(int argc, char const *argv[])
{
    char* BUFFER = (char*)VirtualAlloc(NULL, sizeof(Shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(BUFFER, Shellcode, sizeof(Shellcode));
    (*(void(*)())BUFFER)();
 
    printf("This process is protected !");
    getchar();
 
    return 0;
}

seberapa penting? ya paling tidak berguna kalo mau bikin lintas bahasa pemrograman
intinya kita kayak ambil template terus tempel-tempelin
kalo koleksi shellcodenya banyak kita jadi gak mikir
ini kayak pake C# ya, cuman C# ya gitu deh

9
Konsultasi Virus / Mencegah dan Mengatasi WannaCry
« pada: Mei 16, 2017, 06:00:50 AM »
penting untuk tahu, kadang di internet banyak orang yang aneh gitu soal wannacry
tapi justru kebanyakan malah udah punya nama, wkwkwk
(untung gw nggak, ya gw kan bukan paket per-virus-an/per-worm-an)
ada orang yang pertamanya mereka bicara background, tapi ujung-ujungnya beda 180 derajat
satu sisi ikutan ajah, satu sisi emang realitanya gitu (mereka pro loh padahal)
ini bukan soal SDM tapi emang nasib orang kekurangan fasilitas (termasuk gw juga)
ya kan banyak kasus terjadi ketika PC rusak dan etc, hehehe
bahkan kasus terjadi, pro tapi nggak punya alat buat bedah virus/worm yang canggih
kalau manual bisa aja tapi kan lama banget (ya emang gitu kan?)
misalnya pas pertama kali keluar decrypt wannacry, yang pro aja setengah tidak percaya

cara pencegahan, buat yang belum terinfeksi

1. putuskan PC dari internet/LAN/hotspot/dll

2. instal secara offline MS17-010 atau patch khusus buat winxp
     http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3. instal incremental update buat antivirus secara offline (termasuk smadav)

4. instal secara offline cybereason ransomfree (kalau masih paranoid)

5. disable SMB

https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012



tapi perlu diingat, "belum ada cara buat mengatasi secara offline"

1. wannacry 1.0 sekelas CTB-Locker, maksudnya "sepaketan lengkap dengan server"
     dan bukan berdiri sendiri, untung encryptornya jelek

2. server wannacry 1.0 sudah down, buat yang sudah terlanjur kena wannacry 1.0 deritamu deh
     (karena server wannacry 1.0 udah "di-sinkholed" aka ditenggelamkan)
     
3. buat yang sudah terinfeksi wannacry 2.0 masih ada harapan, tapi ini "bukan high profiled"
     artinya tidak dapat di-sinkholed karena murni mengadopsi worm tanpa control
     sementara wannacry 1.0 dengan control

4. decrypt >>> https://github.com/gentilkiwi/wanadecrypt/releases    (manual)
                          https://github.com/gentilkiwi/wanakiwi/releases          (otomatis, no-rebooted & x86 only)

edited: menambahi decryptor, yang update sekitar 2 jam lalu

10
Programming / Anomali GCC C/C++
« pada: Mei 13, 2017, 09:14:17 PM »
ceritanya begini, GCC selalu banyak kejutan, yang paling teranyar yaitu versi pada 6 dan 7
yaitu menghilangkan C++11 dan mengantinya dengan C++14
kelebihannya "nyaris" tidak ada dan kekurangan jelas kode program yang sudah ditulis tidak bisa compile

kenapa?

1. pada C++11, kita harus panjang lebar, tapi dari panjang lebar itu kode menjadi lebih jelas
2. pada C++14, kita lebih abstrak

solusi?

1. pake boost biar irit
2. coding ulang

implikasi?

1. buat yang setia dengan seri 4.8.1 makin bikin tidak bisa move-on
2. buat yang suka tantangan, patut dicoba


Halaman: [1] 2 3 ... 15