All About Rootkit

“Hanya dengan rootkit, seluruh kekuatan OS ada di dalam genggaman ANDA!”
\(`▽´)/

Rootkit adalah sebuah program komputer yang dapat mempertahankan
existensinya (/red. keep alive) ///tanpa keotahuan oleh pengguna
komputer, program keamanan maupun operation system (/red. keep
stealth/). Nah membuat sebuah rootkit adalah sebuah seni coding advance
yang menjadi impian semua hacker di dunia. Mengapa?
Melalui sebuah
rootkit, seorang hacker dapat menguasai sebuah machine/komputer/ system
selama bertahun-tahun. Dan melalui sebuah rookit, worm Morris yang sudah
basi dapat menjadi CodeRed yang menakuttkan. Dalam experimen di dalam
forum Bl**kH*t, sebuah worm komputer dipadu dengan teknologi rootkit FU.
Rootkit ini dapat menyembunyikan process dari sistem dengan teknik
coding yang nyaris sempurna sehingga worm dapat melempuhkan sistem tanpa
ketahuan oleh antivirus maupun pengguna. Kesimpulan terakhir dari forum
itu yaitu betapa mengerikannya masa depan keamanan internet kalau
teknologi rootkit terus dikembangkan.

Arsitektur rootkit itu gampang-gampang susah. Gampang karena hanya
terdiri dari sebuah .exe (executable windows) dan .sys (biasa dinamakan
dengan rootkit driver) ( ˘̶́⌣˘̶̀) . Susah karena pembuat rootkit harus pintar-pintar (つ_-")
mengatur hubungan antara .exe dan .sys. Hubungan ini dinamakan dengan
user-kernel mode connection interface. Hubungan inilah yang menentukan
bagaimana packet data TCP/IP/ UDP/RAW dari dunia luar (internet)
berkoneksi dengan kernel sistem operasi dan hardware komputer. Mengapa
sebuat rootkit harus terbuat dari .exe dan .sys? Kenapa nggak hanya .exe
saja? Rootkit pada dasarnya mempunyai dua fungsi utama. Fungsi pertama
adalah menerima perintah remote dari hacker dan fungsi yang kedua adalah
menyembunyikan kehadirannya dalam sistem. Fungsi yang pertama ditangani
oleh .exe (executable) dan fungsi yang kedua ditangani oleh .sys
(rootkit driver). Kedua komponen ini saling mendukung satu-sama lain dan
membuat sang hacker dapat menguasai sebuah sistem kopmuter secara
menyeluruh ( ˘̶́⌣˘̶̀) .

Bagaimana cara membuat sebuah rootkit? Persis sama ketika anda ingin
Membuat nasi goreng, anda harus menyiapkan alat dan bahan terlebih dahulu.
Alat-alatnya adalah:
caranya:
-Windows Driver Kit (WDK) atau Device Driver Kit (DDK)

-sebuah compiler C/C++ atau Pascal 

(saya merekomendasikanMicrosoft Visual C++ 6 atau Delphi 7) 

-debugger (saya menggunakanOllyDbg)

- dan debug viewer 
(saya menggunakan DbgView buatan Mark
Russinovich dari www.sysinternals. com).

Bahannya cukup kemampuan anda dalam berbahasa C, C++, dan assembly (you are the master S’to!) 


Catatan : 
Nggak pernah ada dalam sejarah, seorang hacker membuat rootkit dengan menggunakan
BASIC (rasain para pecinta Basic ( ˘̶́⌣˘̶̀) )! Mengapa nggak ada yang memakai bahasa
BASIC? Alasan pertama karena BASIC adalah bahasa yang paling lambat di
dunia. Program BASIC yang menampilkan sebuah huruf ke layar tetap
membutuhkan minimal 10kB memory untuk .exe-nya sedangkan assembly atau C
dapat melakukan hal yang sama hanya dengan instruksi 100 byte dan dapat
menghenat processor time sebanyak berberapa 10 pangkat minus -6 detik
alias beberapa mikrodetik (penghematan yang amat sangat besar)! Alasan
kedua adalah karena kernel sistem operasi terbuat dari bahasa C dan
assembly, jadi untuk berhubungan dengan kernel windows/linux/ unix, kita
membutuhkan driver yang terbuat dari bahasa C,saya sering nipu teman yg kepengen membuat virus,saya bilang menggunakan BASIC,biar ga ketauan modusnya (`▽´)-σ

Langkah kedua yang harus ditempuh adalah merancang device driver,

beserta fungsi kernel di dalamnya, yaitu antara lain windows function
hooks, code injection, dan Direct Kernel Object Manipulation. Windows
function hooks berguna untuk memanipulasi kernel yang ada di dalam
windows agar sesuai dengan kemauan si hacker. Contohnya menyembunyikan
process, files, directories, registry, system HANDLES, dan services
serta port komunikasi. Berikut adalah cuplikan code OS Windows untuk
tipe data _SYTEM_PROCESSES. Sang hacker dapat mengubah NextEntryData
untuk menyembunyikan process dari record processes yang dikehendakinya
sendiri.

Codec:
typedef struct _SYSTEM_PROCESSES {
ULONG NextEntryDelta;
ULONG ThreadCount;
ULONG Reserved1[6] ;
LARGE_INTEGER CreateTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER KernelTime;
UNICODE_STRING ProcessName;
KPRIORITY BasePriority;
ULONG ProcessId;
ULONG InheritedFromProces sId;
ULONG HandleCount;
ULONG Reserved2[2] ;
VM_COUNTERS VmCounters;
IO_COUNTERS IoCounters; // Windows 2000 only
SYSTEM_THREADS Threads[1];
} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;


Langkah terakhir adalah membangun aplikasi .exe. Exe ini berguna untuk
load driver. Load driver berguna untuk meload code-code yang ada di
dalam driver (.sys) ke dalam kernel OS. Selain load driver, exe berguna
untuk mengatur Winsock interface, mengatur process booting agar rootkit
tahan boot system, dan terakhir unload driver ketika rootkit selesai
digunakan maupun ketika komputer di shutdown.

Semua langkah tersebut mencakup seluruh process pembuatan rootkit secara
umum. Saya sengaja menyederhanakannya agar pembaca yang kurang paham (terutama hacker abal"/bocah
(つ_-") )
tentang teknik coding dapat belajar untuk mengerti tentang rootkit dan
bahayanya bagi sistem komputer. Sekarang Anda mengetahui bahwa hanya
dengan rootkit, seluruh kekuatan OS ada di dalam genggaman ANDA! (´▽`ʃƪ)
Bayangkan teknologi rootkit dipakai dalam semua worm di Indonesia, ( ˘̶́⌣˘̶̀)
betapa mengerikan worm lokal jadinya (worm awal brontok: si tukang
restart -> brontok + rootkit berubah menjadi brontok di tukang nyusup. (`▽´)-σ
Mudah mudahan berguna bagi bangsa dan negara
(`▽´)-σ,jangan dipakai buat ngisengin orang,ngerusuhin orang,dan sembarangan,dikarena penanaman rootkit yang sembarangan di komputer seseorang akan berakibat fatal dan bakalan merusak sistem komputer dikarenakan terdapat berbagai macam virus didalam rootkit akan lepas jika tidak dipantau secara rutin,serta membuat komputer yang terkena rootkit harus di reinstall windowsnya/install ulang 65ribu ( ˘̶́⌣˘̶̀) . By Keiichi

Category: 1 comments

1 comments:

Unknown said...

nanya kak, ada ga cara deteksi atau menghapus malware rootkit itu dari komputer selain jalan instal ulang OS ?

dan ada ga ciri komputer udah terinfeksi rootkit ?

Post a Comment

Followers

NOTE!!!

Bilamana anda merasa terganggu dengan lagu yang disediakan, anda bisa memberhentikan lagu tersebut, playlist terletak di atas(tepat dibawah toolsbox browser)

M.M.