Minggu, 24 April 2011

Registry Mania : Melihat nama value : V [Built-in Administrator]

Setelah melihat  nama value F, sekarang saatnya kita mencermati nama value kedua yaitu nama value V.  Saya tidak tahu mengapa namanya bisa begitu ringkas : V.  Singkatan apakah itu?  Tanya Microsoft !!.. :)
Oke… jika kita buka registry dan melihat isi dari nama value F, akan terlihat seperti gambar.



Gambar :  tampilan awal nama value V

Heeem…. Jajaran heksadesimal lagi.  Bikin pusing kepala… tapi apa boleh buat.  Sekarang anggap saja kita telah  mengekspor datanya, dengan format TXT, maka hasilnya lebih kurang seperti terlihat pada listing berikut.

Keterangan offset :
Dari jajaran heksadesimal yang membuat pening kepala di atas, dapat kita lihat, saya telah berbaik hati memberikan kotak-kotak pembatas dan keterangannya.  ..?  Kita akan melihat keterangannya.  Oh iya… nama value F ini bersifat variable length.  Artinya ukuran datanya dapat berubah-ubah sesuai dengan jumlah data yang ada.  Namun demikian akan terdapat beberapa panjang data yang sifatnya tetap sampai pada batas pointer data.
[0] 0ffset kunci : Artinya awal perhitungan data dimulai dari offset ini. Pada kasus ini offsetnya adalah : CC hex. Jadi offset ini dapat dikatakan sebagai offset batas pointer data.

[1] User name : 0C – 17 hex dengan perincian sebagai berikut :
Menerangkan lokasi data awal dari nama pemakai (user name) .
o    Username-1 : 0C - 0F hex.  4 bytes pertama ini menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex.
o    Username-2 : 10 –13 hex. 4 bytes kedua ini menunjukkan entry length. Dan dibulatkan ke atas ke byte terdekat. Disimpan dalam reverse hex.
o    Username-3 : 14 – 17 unknown alias tidak (atau belum…?) diketahui kegunaannya.

[2] Fullname 18 – 30 hex dengan perincian sebagai berikut :
Menunjukkan lokasi awal data nama lengkap dari pemakai.
o    Username-1 : 18-1B  hex.  4 bytes pertama ini menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex.
o    Username-2 : 1C-1F hex. 4 bytes kedua ini menunjukkan panjang datanya, dan dibulatkan ke atas ke 4 byte terdekat. Disimpan dalam reverse hex.
o    Username-3 : 20 – 23 hex.  Unknown !   


[3] Comment : 24 – 2f  hex. dengan perincian sebagai berikut :
Menunjukkan lokasi awal data keterangan dari account.
o    Comment-1 : 24 – 27 hex.  4 bytes pertama ini menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    Comment-2 : 28 - 2b hex. 4 bytes kedua ini menunjukkan entry length. Dan dibulatkan ke atas ke 4 byte terdekat. Disimpan dalam reverse hex.
o    Comment-3 : 2c - 2f  hex.  unknown

[4] User comments 30- 3b hex dengan perincian sebagai berikut :
Menunjukan lokasi awal data komentar untuk pemakai.
o    userComm1 : 30-33 hex.  menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    UserComm2 : 34-37 hex.  Menunjukkan panjang data.
o    UserComm3 : 38-3b hex.   No comment lah….untuk data ini !

[5] Unknown entry  :  3C – 47 hex.  Menunjukkan bahwa data belum diketahui kejelasannya.  Mungkin tugas Andalah untuk melengkapinya.  Oke ?  …?

[6] Home Dir : 48-53 hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari Home Directory.
o    HomeDir-1 : 48-4b hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex,
o    HomeDir-2 : 4c-4f hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    HomeDir-3 : 50-53 hex.  Unknown !  unknown ! …. ?
              
[7] Home Dir Connect : 54-5f hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari Home Directory Connection. 
o    HDC-1 : 54-57 hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex.
o    HDC-2 : 58-5b hex. Merupakan panjang masukan data. Data  disimpan dalam reverse hex.
o    HDC-3 : 5c-5f hex.  Unknown.

[8] Script Path  : 60-6b hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari Script Path.
o    script-1 : 60-63 hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    script-2 : 64-67 hex. Berisi info panjang masukan data. Data  disimpan dalam reverse hex.
o    script-3 : 68-6b hex….  Hiiiiiiiiiiiiiiiih !!! ..?

[9] Profile Path : 6c -  77 hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari Profile Path. 
o    Profile-1: 6c-6f hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex.
o    Profile-2: 70-73 hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    Profile-3: 74-77 hex. Unknown.

[10] Workstation : 78 – 83 hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari Workstation.
o    WorkSta-1 : 78 - 7b hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    WorkSta-2 : 7c - 7f hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    WorkSta-3 : 80 – 83 hex. Unknown.

[11] Hours Allowed : 84-8f hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal dari “jam pemakaian komputer yang diijinkan”.
o    Hours All-1 : 84-87 hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    Hours All-2 : 88-8b hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    Hours All-3 : 8c-8f hex. Unknown.

[12] Unknown entry  1 : 90-9b hex.  Menunjukkan bahwa data belum diketahui kejelasannya. 

[13] LM Password Hash.  9c – a7 hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal LM password  hash.
o    LM pass-1 : 9c-9f hex. menunjukkan lokasi dari masukan relative ke offset:CC. Data disimpan dalam reverse hex
o    LM pass-1 : a0-a3 hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    LM pass-1 : a4-a7 hex. Unknown.

[14] NT Password Hash : a8 – b3 hex dengan perincian sebagai berikut :
Menunjukkan lokasi data awal NT password hash.
o    NT pass-1 : a8-ab hex. menunjukkan lokasi dari masukan relative ke  offset:CC. Data  disimpan dalam reverse hex
o    NT pass-2 : ac-af  hex. Panjang masukan data. Data  disimpan dalam reverse hex.
o    NT pass-3 : b0-b3 hex. Unknown.

[15] Unknown entry 2 :b4-bf hex.
Menunjukkan bahwa data belum diketahui kejelasannya. 

[16] Unknown entry 3 : c0-cb hex. Menunjukkan bahwa data belum diketahui kejelasannya. 

Begitulah lebih kurang cara mengartikan data-data yang bikin pusing kepala.  Apakah akurat info ini ?  Buktikan saja sendiri.  Kita akan mencoba mengupasnya secara lebih mendetail. Sabar ya ?  :)





Note : [Remake BDRW:MKWXP-24]
Tri Amperiyanto


Tidak ada komentar:

Posting Komentar