Download MP3

2009-03-07T19:11:00.001-08:00

Salah Satu Penyebab Bill Gates Gulung Tikar…

2008-02-25T10:38:00.002-08:00

Written by nexago
Wednesday, 30 January 2008 21:54

Beberapa waktu yang lalu anggota crew yogyafree berhasil membuat sebuah mahakarya yang di klaim merupakan celah di windows yang dapat menyebabkan Bill Gates gulung tikar…dan berikut analisa “mahakarya” tersebut :

1. Compiled dari VB 6.0, dengan no packer dan native code.

2. Mengubah/menambah beberapa key registry :
* DisableRegistryTools
* DisableTaskMgr
* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe menjadi gutbai.exe
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\Shell\

3. Gutbai.exe

4. Mencopy dirinya sendiri ke C:\Windows

5. “Membunuh” proses Explorer.exe

Bila dijalankan, aplikasi ini akan memunculkan window dengan 2 Button yang pertama berisi tantangan untuk meng-kliknya dan
kedua akan menutup aplikasinya. Bila button pertama diklik maka akan muncul MessageBox yang berisi bahwa anda sudah menjalankan
tantangannya dan aplikasi akan me-Log Off anda. Begitu anda Log On kembali maka anda hanya dihadapkan tampilan wallpaper saja.
Mengapa demikian?? karena pada dasarnya Windows melakukan boot secara garis besar sbb:

Boot Sector -> NTLDR -|
|-> Ntdetect.com -> HKLM\HARDWARE\DESCRIPTION
|-> HKLM\SYSTEM\CurrentControlSet\Services
|-> Ntoskrnl.exe |-> bootvid.dll
|-> Windows Session Manager (smss.exe) -> HKLM\SYSTEM\CurrentControlSet\Session Manager\Bootexecute
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Memory Management\PagingFiles
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment
-> Winlogon -> MSGina.dll
-> Shell (Explorer.exe) ;Nah disini lah permasalahan terjadi

Sang gutbai.exe menggantikan dirinya sebagai shell yang asli, yaitu Explorer.exe. Maka dari itu anda tidak mempunyai shell tapi mempunyai logon yang valid,
karena MSGina sudah dieksekusi terlebih dahulu. TaskManager tidak bisa dibuka, sama halnya dengan Registry Editor (Regedit) karena telah di blok.

Banyak cara untuk mengembalikan shell asli anda, seperti menggunakan media boot CD, disket, USB, dll. Yang pada dasarnya mengganti value registry yang telah
diganti oleh aplikasi tsb. Berhubung kita menggunakan media boot, maka tidak dapat mengubah Registry secara langsung. DIperlukan aplikasi yang dapat membaca
dan mengubah value registry. Untuk penyimpanan Registry Windows terdapat pada %SystemRoot%\Config\Software (karena HKLM\Software yang kita tuju).
Dianjurkan menggunakan aplikasi yang sifatnya GUI (Graphical User Interface) dalam mengubah registry supaya memudahkan recovery. Penulis menggunakan
CD Recovery XP 1.00 Build On PEBuilder yang didalamnya sudah terintegrasi Regedit bawaan. UNtuk mendapatkan atau mengetahui cara membuat CD tsb bisa menghubungi
penulis.

Cara Recovery:

1. Buka Regedit dari Run.

2. Browse HKEY_LOCAL_Machine Pilih File pada menu dan pilih Load Hive (File Type : Hive File)

3. Browse ke Drive windows anda (biasanya C:).

4. Browse ke C:\Windows\System32\Config, lalu pilih file Software.

5. Akan muncul kotak input box, Buat nama key baru misal HKEY_BARU.

6. Browse ke HKEY_BARU\Microsoft\Windows\CurrentVersion\policies\system lalu hapus value Shell.

7. Browse ke HKEY_BARU\Microsoft\Windows NT\CurrentVersion\Winlogon lalu ganti value Shell menjadi Explorer.exe.

8. Pilih File pada menu dan pilih Export.

9. Save 1 folder dengan file software tadi, misal dengan nama software2. Jangan lupa untuk memilih selected branch : HKEY_LOCAL_MACHINE\HKEY_BARU.

10. Pilih File pada menu dan pilih UnLoad Hive.

11. Browse ke C:\Windows lalu hapus file gutbai.exe.

12. Browse ke folder C:\Windows\System32\Config, lalu hapus file Software dan rename file software2 menjadi software.

13. Reboot Komputer anda.

14. Gunakan file ini.

Regards,
senkouryu
_NewBie^Foreva-

Info Ghoben

Download MP3

Salah Satu Penyebab Bill Gates Gulung Tikar…