Rabu, 27 Januari 2010

Mencekal aplikasi dengan Registry

By Tri Amperiyanto


Berbagai macam cara proteksi yang dapat ditempuh untuk memperaman sistem komputer yag kita punyai. Salaha satunya adalah trik berikut ini. Trik ini berguna untuk mencekal eksekusi suatu program atau aplikasi tertentu berdasarkan nama filenya. Meski proteksi ini tidak terlalu tangguh namun cukup berguna untuk dipakai.




Bagaimana melakukannya ?


Untuk dapat memakai trik ini, panggil Regedit dan pergi ke subkey :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer

Pada lokasi ini, klik kanan subkey Explorer dan buatlah suatu nama value baru dengan jenis DWORD dengan nama : DisallowRun.


Gambar : lokasi visual subkey yang akan di manipulasi


Gambar : membuat suatu nama value baru DisallowRun

Klik ganda nama value DisallowRun sehingga akan muncul jendela Edit Dword Value. Ketikkan angka 1 pada isian Value data, lalu klik Ok.
Langkah selanjutnya adalah membuat subkey baru bernama DisallowRun. Lalu masukkan data nama aplikasi yang akan dicekal. Buatlah nama value berjenis string dengan nama berdasarkan angka urut.
Klik kanan subkey Explorer dan pilih New – Key.


Gambar : memanggil menu konteks membuat subkey baru

Berilah nama subkey baru dengan : DisallowRun.


Gambar : membuat subkey baru DisallowRun

Dengan cara tersebut akan terbentuk subkey baru dengan lokasi sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun

Saatnya membuat data-data nama value baru untuk program atau aplikasi yang akan dicekal. Klik kanan subkey DisallowRun dan pilih New – String Value.


Gambar : membuat nama value jenis string

Saat nama value muncul, ganti namanya dengan angka 1.


Gambar : memberi nama 1 pada nama value baru

Klik ganda nama value 1, dan ketikkan nama aplikasi yang akan dicegah eksekusinya. Sebagai contoh anggap program notepad.exe yang akan dicegah, maka ketikkan : notepad.exe pada isian value data dan klik OK.

Gambar : mengisi data aplikasi yang dicekal

Jika ingin membuat tambahan nama aplikasi yang dicekal, nama value yang dibentuk berilah nama dengan urutan angka. Jika untuk nama value pertama bernama 1, maka nama value berikutnya adalah 2. lalu masukkan data aplikasi yang akan dicekal seperti contoh di atas.
Seandainya, ingin menambah lagi, beri nama untuk nama value berikutnya dengan nama 3. Demikian seterusnya. Jadi jika Kita akan membuat daftar cekal untuk 5 aplikasi, maka kita harus membuat nama value dengan nama 1, 2, 3, 4 dan 5.


Gambar : membuat nama value berikut dengan nama value angka berikutnya

Keluarlah dari regedit dan lakukan booting ulang atau log off. Saat program yang dicekal dijalankan maka akan keluar pesan kesalahan bahwa kegiatan dihentikan karena kebijakan pembatasan yang diberlakukan.


Gambar : error restriction





Untuk mempermudah pemakaian, kita dapat membuat otomatisasi proteksi. Otomatisasi ini dapat diimplementasikan dengan file berjenis REG dan VBS.


Proteksi dengan file REG

Pendekatan pertama yang dapat dilakukan adalah dengan membuat dua file berjenis REG. Satu file untuk membuka proteksi, file yang lain untuk mengaktifkannya. Sehingga saat dibutuhkan kita tinggal melakukan klik ganda pada file yang sesuai.
Berikut ini contoh file REG untuk mengaktifkan proteksi. Buka program notepad, ketikkan data berikut :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="notepad.exe"
"2"="msconfig.exe"


Kemudian simpan file dengan nama DISALLOWRUN.REG (misalnya). Jika ingin ditambahkan data, misalnya untuk program calc.exe. maka cukup tuliskan :
"3"="msconfig.exe"

Sehingga data menjadi :
"1"="notepad.exe"
"2"="msconfig.exe"
"3"="msconfig.exe"


Demikian seterusnya untuk aplikasi berikut yang akan dicekal.

Berikut ini contoh file REG untuk membuka proteksi. Buka program notepad, ketikkan data berikut :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000000


Kemudian simpan file dengan nama ALLOWRUN.REG (misalnya).
Untuk melakukan proteksi, panggil Windows Explorer dan klik ganda file DISALLOWRUN.REG. Akan keluar pesan apakah benar akan memasukkan data ke Registry. Klik Yes, maka proteksi akan aktif. Jangan lupa, lakukan booting agar efek proteksi aktif.
Sebaliknya, jika ingin membuka proteksi, dengan Windows Explorer klik ganda file ALLOWRUN.REG. Jawab Yes, blokir akan dibuka.


Proteksi dengan file INF

Pendekatan kedua adalah dengan membuat dua file berjenis INF. Hal yang sama dapat dilakukan seperti halnya pendekatan pertama, yaitu membuat dua file pembantu. Satu file untuk mempoteksi, lainnya untuk membuka.
Berikut ini contoh file INF untuk mengaktifkan proteksi. Buka program notepad, ketikkan data berikut :

;proteksi disallow run

[Version]
Signature="$Chicago$"
Provider=CyberSufi

[DefaultInstall]
AddReg=Tambah
DelReg=Hapus

[Tambah]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisallowRun,1,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,1,,"notepad.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,2,,"msconfig.exe"

[Hapus]


Kemudian simpan file dengan nama DAR.INF (misalnya). Jika ingin ditambahkan data, misalnya untuk program calc.exe. maka cukup tuliskan :
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,3,,"calc.exe"

Sehingga data menjadi
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisallowRun,1,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,1,,"notepad.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,2,,"msconfig.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun,3,,"calc.exe"


Berikut ini contoh file INF untuk membuika proteksi. Buka program notepad, ketikkan data berikut :

;Buka proteksi disallow run

[Version]
Signature="$Chicago$"
Provider=CyberSufi

[DefaultInstall]
AddReg=Tambah
DelReg=Hapus

[Tambah]


[Hapus]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun


Kemudian simpan file dengan nama AR.INF (misalnya).

Untuk melakukan proteksi, panggil Windows Explorer dan klik kanan pada file DAR.INF. Pilih Install, maka proteksi akan aktif. Untuk membuka proteksi, aktifkan file AR.INF dengan cara yang sama.


Kelemahan

Trik Registry sederhana ini masih menyimpan kelemahan. Misal, notepad.exe dikunci, jika pemakai cukup cerdik, hanya dengan melakukan rename pada nama file tersebut dengan sembarang nama, maka program akan dapat berjalan dengan normal. Ini terjadi, karena trik hanya akan mencekal berdasarkan nama file exe yang sedang berjalan. Namun, bagaimanapun, trik ini cukup berguna untuk menambah wawasan kita akan proteksi yang dapat dilakukan.

Tidak ada komentar:

Posting Komentar