Menghapus File Terproteksi Melalui Registry


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Friday, June 29th, 2007
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Di artikel terdahulu, saya telah membahas mengenai cara mengahapus file terproteksi dengan menggunakan File Detonator V1.0.0. Aplikasi itu akan memerintahkan windows untuk menghapus file yang ditargetkan ketika windows restart.

Nah, kali ini saya akan mengajak Anda untuk melakukan hal yang sama, namun tanpa menggunakan bantuan software pihak ketiga. Dengan mengetahui konsepnya, maka Anda dapat mengimplementasikan teknik ini dalam project anda. Atau.. bagi Anda yang seorang penulis Virus, mungkin bisa Anda terapkan teknik ini dalam Virus anda untuk menghapus komponen-komponen AntiVirus yang memiliki nama default agar AntiVirus tidak dapat berjalan atau ‘musnah’ tanpa jejak (hehehe… mendingan jangan dech..) *_* Sebagai catatan, teknik ini berjalan baik pada OS Windows XP.

Okay, langsung aja yach kita menuju ke langkah-langkah…

[Langkah 1]

Buka Text Editor kesayangan anda. Misalnya NOTEPAD.

[Langkah 2]

Ketik script Registry berikut:

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,LOKASI FILE ANDA,00,00,00

Lokasi file Anda harus dikonversikan kedalam heksa terlebih dahulu. Berikut adalah tabel konversinya:

A  =Tukar dengan>  41      a  =Tukar dengan>  61
B  =Tukar dengan>  42      b  =Tukar dengan>  62
C  =Tukar dengan>  43      c  =Tukar dengan>  63
D  =Tukar dengan>  44      d  =Tukar dengan>  64
E  =Tukar dengan>  45      e  =Tukar dengan>  65
F  =Tukar dengan>  46      f  =Tukar dengan>  66
G  =Tukar dengan>  47      g  =Tukar dengan>  67
H  =Tukar dengan>  48      h  =Tukar dengan>  68
I  =Tukar dengan>  49      i  =Tukar dengan>  69
J  =Tukar dengan>  4a      j  =Tukar dengan>  6a
K  =Tukar dengan>  4b      k  =Tukar dengan>  6b
L  =Tukar dengan>  4c      l  =Tukar dengan>  6c
M  =Tukar dengan>  4d      m  =Tukar dengan>  6d
N  =Tukar dengan>  4e      n  =Tukar dengan>  6e
O  =Tukar dengan>  4f      o  =Tukar dengan>  6f
P  =Tukar dengan>  50      p  =Tukar dengan>  70
Q  =Tukar dengan>  51      q  =Tukar dengan>  71
R  =Tukar dengan>  52      r  =Tukar dengan>  72
S  =Tukar dengan>  53      s  =Tukar dengan>  73
T  =Tukar dengan>  54      t  =Tukar dengan>  74
U  =Tukar dengan>  55      u  =Tukar dengan>  75
V  =Tukar dengan>  56      v  =Tukar dengan>  76
W  =Tukar dengan>  57      w  =Tukar dengan>  77
X  =Tukar dengan>  58      x  =Tukar dengan>  78
Y  =Tukar dengan>  59      y  =Tukar dengan>  79
Z  =Tukar dengan>  5a      z  =Tukar dengan>  7a

0  =Tukar dengan>  30      ~  =Tukar dengan>  7e
1  =Tukar dengan>  31      `  =Tukar dengan>  60
2  =Tukar dengan>  32      !  =Tukar dengan>  21
3  =Tukar dengan>  33      @  =Tukar dengan>  40
4  =Tukar dengan>  34      #  =Tukar dengan>  23
5  =Tukar dengan>  35      %  =Tukar dengan>  25
6  =Tukar dengan>  36      $  =Tukar dengan>  24
7  =Tukar dengan>  37      ^  =Tukar dengan>  5e
8  =Tukar dengan>  38      &  =Tukar dengan>  26
9  =Tukar dengan>  39      (  =Tukar dengan>  28
                           )  =Tukar dengan>  29
                           _  =Tukar dengan>  5f
                           -  =Tukar dengan>  2d
                           +  =Tukar dengan>  2b
                           =  =Tukar dengan>  3d
                           {  =Tukar dengan>  7b
                           }  =Tukar dengan>  7d
                           [  =Tukar dengan>  5b
                           ]  =Tukar dengan>  5d
                           ;  =Tukar dengan>  3b
                           '  =Tukar dengan>  27
                           ,  =Tukar dengan>  2c
                           .  =Tukar dengan>  2e
                           \  =Tukar dengan>  5c
                           :  =Tukar dengan>  3a

Pisah masing-masing nilai hasil konversi dengan tanda koma (,). Jadi misalnya Anda ingin menghapus file terproteksi yang berada di lokasi:

D:\spyroZONE\virus.exe

Maka Anda harus menuliskannya pada script anda sebagai berikut (Value datanya jangan dipisah dengan spasi):

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,73,70,79,72,
                              6f,5a,4f,4e,45, 5c,76,69,72,75,73,2e,65,
                              78,65,00,00,00

Ingat!!! value datanya jangan dipisah dengan spasi tuliskan semuanya dalam 1 baris. Perhatikan, berikut ini adalah lokasi file tadi:

44 3a 5c 73 70 79 72 6f 5a 4f 4e 45 5c 76 69 72 75 73 2e 65 78 65
D  :  \  s  p  y  r  o  Z  O  N  E  \  v  i  r  u  s  .  e  x  e

Jangan lupa, di akhir alamat file tambahkan 3 buah double 0 :

 ,00,00,00

[Langkah 3]

Simpan dengan nama terserah.reg (Klik File -> Save. Pada kolom isian File name, isikan terserah.reg dan pilih All Files pada box pilihan Save As type. Klik Save sesudahnya.). Setelah itu, lalu klik ganda pada file terserah.reg tersebut. Pilih [YES] lalu [OK].

Kini restartlah komputer anda. Setelah itu lihatlah file yang Anda targetkan. Jika langkah-langkah diatas Anda ikuti dengan benar, maka file terproteksi yang ditargetkan  tadi kini tentunya telah terhapus ;)

Bagaimana jika ingin menghapus lebih dari satu file??

Sambungkan saja pada value datanya dengan format yang sama. Pisahkan dengan: 00,00

Misalnya file yang ingin Anda hapus berada di lokasi:

D:\spyroZONE\virus.exe

dan

D:\spyroZONE\viruses.exe

Maka Anda cukup menuliskannya demikian:

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"=hex(7):5c,3f,3f,5c,44,3a,5c,73,70,79,72,6f,5a,4f,4e,
                              45,5c,76,69,72,75,73,2e,65,78,65,00,00,5c,3f,3f,5c,
                              44,3a,5c,73,70,79,72,6f,5a,4f,4e,45, 5c,76,69,72,75,
                              73,65,73,2e,65,78,65,00,00,00

Ingat!!! value datanya jangan dipisah dengan spasi tuliskan semuanya dalam 1 baris.

Sekian, sampai jumpa di artikel berikutnya ^_^


//E.O.F