Monday, June 16, 2008

Membuat Patch Command Prompt (Windows XP)

Dengan melakukan patch pada regedit.exe kita bisa mem-bypass setting registry yang melakukan "penguncian" terhadap regedit yang menyebabkan regedit tidak dapat dibuka/dijalankan.

Dengan teknik yang sama, kita juga dapat mem-bypass setting penguncian terhadap cmd.exe (command prompt). Untuk cmd.exe setting registry yang bertugas menguncinya ada pada key
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\
System dengan value DisableCMD yang bernilai 1.




Cara patchingnya sebagai berikut:
1. Copy file cmd.exe yang berada pada folder C:\windows\system32 ke desktop
2. Rename file hasil copy ini dengan nama lain, misalnya cmd_patched.exe
3. Buka file cmd_patched.exe dengan hex editor, misalnya UltraEdit32
4. Cari offset 00004310h, anda akan melihat baris 53 00 79 00 73 00 74 dst




5. Ganti angka 53 pada baris tersebut dengan angka lain terserah anda, misalnya menjadi 65 00 79 00 73 00 74 dst




6. Save file tersebut

File cmd_patched.exe ini tetap dapat dijalankan meskipun setting DisableCMD bernilai 1.
Selamat mencoba!
Saturday, June 14, 2008

Membuat Patch Regedit (Windows XP)

Pada registry (win XP) ada sebuah setting yang dapat membuat registry tools (regedit dan tweak UI) tidak bisa diakses, yaitu pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System dengan value DisableRegistryTools. Jika value ini 1 maka ketika akan menjalankan regedit akan muncul pesan



Setting registry yang dijelasin di atas seringkali digunakan oleh virus/worm/trojan/dsb untuk mempersulit upaya pembersihannya. Terdapat banyak cara untuk mengaktifkan kembali regedit, seperti dengan skrip reg, skrip inf, tools yg banyak beredar di internet, dll.
Satu trik lain yang bisa kita gunakan adalah dengan melakukan patching terhadap file regedit.exe.

Langkah-langkahnya adalah:
1. Copy file regedit.exe dari C:\windows ke tempat lain, misale ke Desktop. Rename file hasil copy ini dengan nama lain, misale regedit_patched.exe
2. Buka hex editor kamu (saya pake UltraEdit32), terus buka file regedit_patched.exe
3. Cari offset 00000d00h, kamu akan melihat baris 5C 00 00 00 44 dan seterusnya.




4. Nah, ganti nilai 44 di atas dengan nilai lain, terserah kamu, misalnya menjadi 5C 00 00 00 55 dan seterusnya.
5. Save file tersebut. Dengan patch ini, hasilnya adalah sebuah registry editor yang "kebal" terhadap setting DisableRegistryTools!