Penulis Topik: MENGHINDARI ENGINE HEURISTIK ICON  (Dibaca 3524 kali)

Offline Duke

  • Pro10
  • ***
  • Tulisan: 84
  • Reputation: +3408/-0
  • Jenis kelamin: Pria
  • GreenRed
    • Lihat Profil
MENGHINDARI ENGINE HEURISTIK ICON
« pada: Maret 22, 2011, 10:06:43 AM »

%%%%%%%% CARA UNTUK MENGHINDARI ENGINE HEURISTIK ICON DARI KEBANYAKAN ANTIVIRUS LOKAL %%%%%%


Seperti yang kita ketahui kebanyakan AV-lokal memiliki Engine untuk mengantisipasi virus2 lokal yang sering
menggunakan tampilan icon seperti dokumen dan multimedia sehingga hampir setiap virus yang menggunakan cara
tersebut dapat langsung dideteksi tanpa perlu didaftarkan pada database AV-tersebut.
Maka dengan alasan tersebut saya mencoba untuk membagikan teknik yang sederhana yang dapat mengelabui Engine
Heur Icon (kira2 seperti itulah nama-nya) yang dipakai oleh kebanyakan AV-Lokal.
(Demi menjaga keseimbangan antar AV-Lokal dan VIR-LOKAL).

Ini adalah contoh project VB sederhana untuk membuat kadar warna dari setiap pixel pada tampilan icon sebuah
aplikasi dapat diubah oleh aplikasi itu sendiri secara langsung. Demo pada project ini hanya sebatas memodifikasi
frame icon dengan Windows XP color. Konsep utama dari metode ini adalah menambah/mengurangi
nilai dari 4 byte yang menyusun sebuah warna pada pixel (Windows XP color) dengan batas nilai perubahan maximum 5
Walaupun struktur byte-nya telah berubah sehingga AV-Lokal menganggap tampilan icon yang baru berbeda dengan icon sebelumnya
tetapi dimata user tampilannya hampir tidak berubah sama sekali.. ;)

    Sedikit keterangan!
    Untuk struktur byte dari Windows XP color pada setiap pixel terdiri dari 4 byte:
    Blue, Green, Red, Opacity
    ex: Jika ada sebuah pixel berwarna kuning dengan transparansi 50% maka struktur byte-nya seperti berikut (00 FF FF 7F)
    Blue      =   0
    Green     =  FF
    Red       =  FF
    Opacity   =  7F (Nilai tranparansi separuh dari 255 alias 50%)
    (SILAHKAN PERBAIKI KETERANGAN DI ATAS JIKA ADA YANG KURANG TEPAT ;) )
   

Untuk mencobanya tinggal di-compile Source Code-nya (Native atau P-code terserah) dan jalankan...
File executable yang dijalankan akan menggandakan diri sebanyak 13 buah pada folder tersebut.
Dari setiap file akan memiliki struktur byte file icon yang berbeda-beda dan seterus-nya jika dijalankan lagi dan lagi.


CATATAN:
Jika file hasil duplikasi dijalankan dan dari hasil duplikasi itu juga dijalankan secara berkesinambungan maka
perubahan warna akhirnya juga akan terlihat dengan kasat mata. Jadi disarankan agar byte asli dari frame yang
akan dimodifikasi di-backup dengan membuat sebuah file atau dengan cara yang lebih expert yaitu mengambil langsung
frame kualitas WindowsXP color dari file WORD.exe (Jika mau menggunakan icon WORD Document tentunya).


Silahkan pake icon apa saja sesuka hati...
karena metode ini hanya berjalan pada frame dengan Windows XP Color maka disarankan untuk icon yang akan dipakai
dimodifikasi menjadi seperti dibawah ini:

16 x 16 , 16 Color (Sekedar dummy frame saja agar dapat diterima di IDE-nya VB6) - Khusus frame ini tutup full dengan satu warna agar aman dari pendeteksian
16 x 16 , Windows XP Color
32 x 32 , Windows XP Color
48 x 48 , Windows XP Color
 n x n  , Windows XP color

Atau liat contoh file icon "Doc2003.ICO" pada folder Source Code
Buka pake aplikasi Macroangelo untuk editor-nya lumayan bagus and simple.




:: AKHIR KATA ::

Project ini hanya semata-mata untuk saling berbagi pengetahuan sehingga penyalagunaan dari project ini diluar dari tanggungjawab penulis!
Terima kasih.  _\m/




/////////////////////////////////////////////////////////

Date   : 22-03-2011
Author   : DUKE
_________________________________________________________




Hasil dari TEST yang sudah dilakukan (Menggunakan Icon Word Document 2003):


>> Beberapa AV-lokal yang dapat mendeteksi sebagian besar hasil duplikasi.

-Simsesys Antivirus v.4.3.46


>> Beberapa AV-lokal yang hanya dapat mendeteksi file orginal-nya saja sedangkan untuk hasil duplikasi dengan metode ini tidak terdeteksi.

-Smadav 2011 Rev 4.8.1
-PCMAV 4.7 Ragnarok 3
-Andreal Antivirus v2.1.0.0
-Eura AV-NG SYstem v1.8.0.6


>> Beberapa AV-Lokal yang belum mendeteksi samasekali.

-Ansav v2.0.53.0
-Artav v2.6
-CMC PH.3-5 Final Version
-Fajr-Sigma Antivirus
-Validav v1.0
-Indo Sky Antivirus v1.0.0.0
-WSM Antivirus R.2.3
-Smart32 v8.0.9
-Genetix Antivirus v2.0


(Semogah terpacuh untuk meningkatkan kemampuan engine-nya masing-masing!)


 Maju terus engine AV-LOKAL jangan mau kalah...   _\m/


Download Source Code & Binary:
http://www.2shared.com/file/jbKRWX4B/Anti_Heur_Icon_ByDuke_Indo.html



Offline PhaMenThaR

  • Smadav Experts
  • Pro500
  • ******
  • Tulisan: 7.764
  • Reputation: +65535/-176
  • Jenis kelamin: Pria
  • More Than a ConQueror
    • Lihat Profil
    • PhaMenThaR™
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #1 pada: Maret 22, 2011, 10:48:44 AM »

%%%%%%%% CARA UNTUK MENGHINDARI ENGINE HEURISTIK ICON DARI KEBANYAKAN ANTIVIRUS LOKAL %%%%%%


Seperti yang kita ketahui kebanyakan AV-lokal memiliki Engine untuk mengantisipasi virus2 lokal yang sering
menggunakan tampilan icon seperti dokumen dan multimedia sehingga hampir setiap virus yang menggunakan cara
tersebut dapat langsung dideteksi tanpa perlu didaftarkan pada database AV-tersebut.
Maka dengan alasan tersebut saya mencoba untuk membagikan teknik yang sederhana yang dapat mengelabui Engine
Heur Icon (kira2 seperti itulah nama-nya) yang dipakai oleh kebanyakan AV-Lokal.
(Demi menjaga keseimbangan antar AV-Lokal dan VIR-LOKAL).

Ini adalah contoh project VB sederhana untuk membuat kadar warna dari setiap pixel pada tampilan icon sebuah
aplikasi dapat diubah oleh aplikasi itu sendiri secara langsung. Demo pada project ini hanya sebatas memodifikasi
frame icon dengan Windows XP color. Konsep utama dari metode ini adalah menambah/mengurangi
nilai dari 4 byte yang menyusun sebuah warna pada pixel (Windows XP color) dengan batas nilai perubahan maximum 5
Walaupun struktur byte-nya telah berubah sehingga AV-Lokal menganggap tampilan icon yang baru berbeda dengan icon sebelumnya
tetapi dimata user tampilannya hampir tidak berubah sama sekali.. ;)

    Sedikit keterangan!
    Untuk struktur byte dari Windows XP color pada setiap pixel terdiri dari 4 byte:
    Blue, Green, Red, Opacity
    ex: Jika ada sebuah pixel berwarna kuning dengan transparansi 50% maka struktur byte-nya seperti berikut (00 FF FF 7F)
    Blue      =   0
    Green     =  FF
    Red       =  FF
    Opacity   =  7F (Nilai tranparansi separuh dari 255 alias 50%)
    (SILAHKAN PERBAIKI KETERANGAN DI ATAS JIKA ADA YANG KURANG TEPAT ;) )
   

Untuk mencobanya tinggal di-compile Source Code-nya (Native atau P-code terserah) dan jalankan...
File executable yang dijalankan akan menggandakan diri sebanyak 13 buah pada folder tersebut.
Dari setiap file akan memiliki struktur byte file icon yang berbeda-beda dan seterus-nya jika dijalankan lagi dan lagi.


CATATAN:
Jika file hasil duplikasi dijalankan dan dari hasil duplikasi itu juga dijalankan secara berkesinambungan maka
perubahan warna akhirnya juga akan terlihat dengan kasat mata. Jadi disarankan agar byte asli dari frame yang
akan dimodifikasi di-backup dengan membuat sebuah file atau dengan cara yang lebih expert yaitu mengambil langsung
frame kualitas WindowsXP color dari file WORD.exe (Jika mau menggunakan icon WORD Document tentunya).


Silahkan pake icon apa saja sesuka hati...
karena metode ini hanya berjalan pada frame dengan Windows XP Color maka disarankan untuk icon yang akan dipakai
dimodifikasi menjadi seperti dibawah ini:

16 x 16 , 16 Color (Sekedar dummy frame saja agar dapat diterima di IDE-nya VB6) - Khusus frame ini tutup full dengan satu warna agar aman dari pendeteksian
16 x 16 , Windows XP Color
32 x 32 , Windows XP Color
48 x 48 , Windows XP Color
 n x n  , Windows XP color

Atau liat contoh file icon "Doc2003.ICO" pada folder Source Code
Buka pake aplikasi Macroangelo untuk editor-nya lumayan bagus and simple.




:: AKHIR KATA ::

Project ini hanya semata-mata untuk saling berbagi pengetahuan sehingga penyalagunaan dari project ini diluar dari tanggungjawab penulis!
Terima kasih.  _\m/




/////////////////////////////////////////////////////////

Date   : 22-03-2011
Author   : DUKE
_________________________________________________________




Hasil dari TEST yang sudah dilakukan (Menggunakan Icon Word Document 2003):


>> Beberapa AV-lokal yang dapat mendeteksi sebagian besar hasil duplikasi.

-Simsesys Antivirus v.4.3.46


>> Beberapa AV-lokal yang hanya dapat mendeteksi file orginal-nya saja sedangkan untuk hasil duplikasi dengan metode ini tidak terdeteksi.

-Smadav 2011 Rev 4.8.1
-PCMAV 4.7 Ragnarok 3
-Andreal Antivirus v2.1.0.0
-Eura AV-NG SYstem v1.8.0.6


>> Beberapa AV-Lokal yang belum mendeteksi samasekali.

-Ansav v2.0.53.0
-Artav v2.6
-CMC PH.3-5 Final Version
-Fajr-Sigma Antivirus
-Validav v1.0
-Indo Sky Antivirus v1.0.0.0
-WSM Antivirus R.2.3
-Smart32 v8.0.9
-Genetix Antivirus v2.0


(Semogah terpacuh untuk meningkatkan kemampuan engine-nya masing-masing!)


 Maju terus engine AV-LOKAL jangan mau kalah...   _\m/


Download Source Code & Binary:
http://www.2shared.com/file/jbKRWX4B/Anti_Heur_Icon_ByDuke_Indo.html



nice share and good info :D
any way tuh di windows XP smua ???
kalo di 7 gmn donk bro  :-\
=====

Offline Duke

  • Pro10
  • ***
  • Tulisan: 84
  • Reputation: +3408/-0
  • Jenis kelamin: Pria
  • GreenRed
    • Lihat Profil
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #2 pada: Maret 22, 2011, 11:09:45 AM »
"Windows XP color" hanya sebutan dari penggolongan warna saja seperti:

16 Color
256 Color
True Color
Monochrome Color
Windows XP Color

Sudah di test pada Wind7 jalan mulus!

Offline andri_24434

  • Pro10
  • ***
  • Tulisan: 27
  • Reputation: +59/-0
    • Lihat Profil
    • Andreal Cellular
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #3 pada: Maret 27, 2011, 03:18:26 PM »
mantap banget info!

tq atas infonya!
Dukung Andreal Antivirus : http://www.andreal-antivirus.co.cc/

tolong di kritik dan sarannya ya! TQ

Offline thirteen™

  • Pro500
  • ******
  • Tulisan: 1.155
  • Reputation: +65535/-335
  • Jenis kelamin: Pria
  • Admin of ForCamp
    • Lihat Profil
    • My Website
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #4 pada: Maret 27, 2011, 06:08:08 PM »
download dulu deh SCnya !
█║▌│█│║▌║││█║▌│║▌
©2011 All Right Reserved
by Krisna Soekamti™

Offline Green Baret

  • Pro10
  • ***
  • Tulisan: 51
  • Reputation: +65535/-0
    • Lihat Profil
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #5 pada: Maret 27, 2011, 11:06:28 PM »
Keren om.........

Offline furniturecode

  • Pro10
  • ***
  • Tulisan: 13
  • Reputation: +43/-0
    • Lihat Profil
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #6 pada: Maret 31, 2011, 07:57:58 PM »
wah mantab nih, ada master bagi-bagi ilmu

Offline v4ny45

  • Pro3
  • **
  • Tulisan: 3
  • Reputation: +37/-0
    • Lihat Profil
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #7 pada: April 10, 2011, 04:28:32 PM »
bagaimana dengan virus yg sering membuat recycle di flash disk apakah smadav sudah bisa mengatasinya?
dan file yg dirubah sama virus menjadi exe apa smadav bisa merestore kembali?
sekian terima kasih

Offline MAbdanMulia

  • Pro100
  • ****
  • Tulisan: 104
  • Reputation: +505/-0
  • Jenis kelamin: Pria
    • Lihat Profil
Re: MENGHINDARI ENGINE HEURISTIK ICON
« Jawab #8 pada: April 18, 2011, 06:36:31 PM »
wahh wah.,.,
Tolong Cek Antivirus buatan saya juga gan :
http://www.4shared.com/file/1aMBCxLU/Balance_Setup.html

 :-bd  :-bd   :-bd  :-bd
Moga aja BAV bisa mendeteksi  >=)  >=)  >=)