Namun bila anda merasa ingin tahu tentang konsep kerja tool-tool tersebut, atau anda ingin tahu, registry mana saja yang seringkali menjadi “langganan” serangan virus, berikut sedikit ulasannya.
APA ITU REGISTRY ?
Registry windows adalah sebuah database yang menjadi wadah penyimpan segala pengaturan sistem di windows. Atau dengan kata lain Registry adalah otak dari sistem operasi windows yang dijalankan. Kunci utama Registry windows terdiri dari 5 (lima) key utama, yakni :
1. HKEY_CLASSES_ROOT (HKCR)
2. HKEY_CURRENT_USER (HKCU)
3. HKEY_LOCAL_MACHINE (HKLM)
4. HKEY_USERS (HKU), dan
5. HKEY_CURRENT_CONFIG (HKCC)
Masing-masing Key Utama tersebut memiliki sejumlah Sub Key. Kemudian didalam masing-masing Sub Key tersebut terdapat sejumlah anak sub key lagi. Didalam setiap key inilah disimpan berbagai macam catatan pengaturan sistem operasi yang biasa disebut dengan Value.
Digolongkan dari type datanya, value ini dapat dibagi menjadi 5 (lima) jenis, yaitu :
1. DWORD value, dengan jenis isi angka atau integer.
2. STRING value, dengan jenis isi huruf/character atau kalimat.
3. BINARY value, dengan jenis isi angka biner
4. MULTI STRING value, dan
5. EXPANDABLE STRING value.
Salah satu konsep kerja virus yakni melakukan manipulasi/perubahan terhadap jalannya system operasi. Namun yang sesungguhnya terjadi adalah, program virus menjalankan sejumlah “perintah” untuk melakukan perubahan nilai-nilai /value yang ada didalam registry.
Begitu pula konsep kerja tool-tool utility yang menangani perbaikan terhadap efek manipulasi virus. Dengan memberikan perintah-perintah yang “membalik” hasil manipulasi virus, kembali ke kondisi semula (standard default setting).
Untuk lebih jelasnya bagian-bagian/alamat registry yang umum dimanipulasi oleh virus adalah sebagai berikut :
ALAMAT REGISTRY YANG UMUMNYA DIMANIPULASI VIRUS :
1.Mengatur Program yang dijalankan otomatis saat startup.
Fungsi yang biasa dimanfaatkan virus untuk meletakkan otomatisasi jalannya virus)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
2.Manipulasi Setting Explorer
a.Menyembunyikan File Hidden dan Super Hidden
Fungsi ini dimanfaatkan virus agar dirinya tetap tersembunyi/tidak tampak di jendela explorer.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Dword Value : Hidden
Dword Value : SuperHidden
Dword Value : ShowSuperHidden
b.Menyembunyikan Ekstensi
Fungsi ini biasa dimanfaatkan oleh virus-virus yang menyerupai file Word, Folder, dan lain sebagainya. Dengan menyembunyikan ekstensi file, user diharapkan secara tidak sengaja mengaktivasi jalannya virus.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Dword Value : HideFileExt
3.Pemblokiran Regedit (Registry Editor)
Bagian registry ini mengatur pemblokiran regedit sehingga tidak dapat diakses oleh user.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Dword Value : DisableRegistryTools
4.Pemblokiran Task Manager
Bagian registry ini berfungsi untuk mengatur pemblokiran jendela Task Manager.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Dword Value : DisableTaskMgr
5.Pemblokiran Command Prompt
Bagian ini berfungsi untuk menonaktifkan fungsi command prompt (CMD).
HKCU\Software\Policies\Microsoft\Windows\System
Dword Value : DisableCMD
6.Pemblokiran System Restore
Bagian ini mengunci system restore sehingga tidak dapat terbuka.
HKLM\Software\Policies\Microsoft\WindowsNT\SystemRestore
Dword value : DisableSR
CARA PERBAIKAN :
Untuk memperbaiki setting registry yang telah dimanipulasi oleh virus maka seluruh setting yang dirubahnya harus kita kembalikan kedalam kondisi semula. Ada sejumlah cara yang dapat dilakukan, diantaranya :
1.Perbaikan Manual
Dengan sistem ini kita membuka dan merubah langsung nilai-nilai registry lewat jendela regedit (registry editor).
Masuk ke Start > Run, kemudian ketikkan perintah REGEDIT dan klik OK.
Setelah itu masuklah ke lokasi key yang ingin dirubah, dan aturlah valuenya sesuai kebutuhan.
Catatan : Jangan sembarangan mengubah atapun menghapus value yang ada didalam registry bila anda masih belum mengerti fungsi setting yang terdapat didalamnya. Karena kesalahan sedikit bisa berakibat fatal terhadap system operasi.
2.Perbaikan dengan Script (Kode)
Dengan system ini kita dapat membuat file yang berisi kumpulan perintah-perintah untuk memanipulasi nilai tertentu yang terdapat didalam registry, sehingga eksekusi manipulasi registry dapat lebih mudah dan terotomatisasi.
Contohnya :
a. Bukalah program Notepad, kemudian copy pastekan perintah visual basic script dibawah ini kedalamnya.
b. Simpan file tersebut dengan nama sembarang, misal REPAIR dan ekstensi-nya VBS
c. Pada saat penyimpanan, ganti pilihan “Save as type”-nya menjadi All files.
Copy kode dibawah ini :
on error resume next
dim buat, lokasi
set buat = createobject("WScript.Shell")
rem -- Membuka beberapa fasilitas yang diblokir
lokasi = "HKCU\Software\Policies\Microsoft\Windows\System\"
buat.RegWrite lokasi&"DisableCMD","0","REG_DWORD"
lokasi = "HKCU\Software\Microsoft\Windows\CurrentVersion\"
buat.RegWrite lokasi&"Policies\System\DisableTaskMgr","0","REG_DWORD"
buat.RegWrite lokasi&"Policies\System\DisableMsConfig","0","REG_DWORD"
buat.RegWrite lokasi&"Policies\System\DisableRegistryTools","0","REG_DWORD"
rem -- membuka pengaturan file hidden dan ekstensi
buat.RegWrite lokasi&"Explorer\Advanced\Hidden","0","REG_DWORD"
buat.RegWrite lokasi&"Explorer\Advanced\HideFileExt","0","REG_DWORD"
buat.RegWrite lokasi&"Explorer\Advanced\ShowSuperHidden","0x00000000"
rem -- membuka system restore
lokasi = "HKLM\Software\Policies\Microsoft\WindowsNT\SystemRestore\"
buat.RegWrite lokasi&"DisableSR","0","REG_DWORD"
rem -- membuka sejumlah fasilitas yang biasanya disembunyikan
lokasi = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
buat.RegWrite lokasi&"NoRun","0","REG_DWORD"
buat.RegWrite lokasi&"NoFind","0","REG_DWORD"
buat.RegWrite lokasi&"NoControlPanel","0","REG_DWORD"
buat.RegWrite lokasi&"NoFolderOptions","0","REG_DWORD"
rem -- tambahkan perintah-perintah lain yang anda anggap perlu
rem -- dengan menambahkan perintah seperti diatas
rem -- tinggal copy baris perintah dari salah satu bagian perintah diatas
rem -- (mulai dari bagian penulisan lokasi kebawah)
rem -- ganti isi lokasi dan isi buat.regwrite sesuai pengaturan yang diinginkan
3 komentar:
Delay in deposit time by Binance is enough to embarrass its users immediately. In that case, users may opt to talk to the specialized team who know the real strategy to resolve the issues at once and authentically after the giving the cause. Therefore users don’t need to get disappointed anymore, as we are available here round the clock to serve our customers. Binance Support Number They will be required to call Binance customer support number only. The team of experts is available 24/7 to erase all your errors in quick time.
Are you dealing with Gemini two-factor authentication error in your Gemini account? Gemini 2fa is created to provide extra security to users so that they don’t lose access to their Gemini account. If you don’t know how to deal with these errors, you can always talk with the elite professionals who’re Gemini Support Number there to help you out. To contact them, you can call on Gemini support number which is always functional. Talk to the team for better results and get solutions in no time.
Delay in deposit time by Libra is enough to embarrass its users immediately. In that case, users may opt to talk to the specialized team who know the real strategy to resolve the issues at once and authentically after the giving the cause. Therefore users don’t need to get disappointed anymore, as we are available here round the clock to serve our customers. They will be Libra Support Number required to call Libra customer support phone number only. The team of experts is available 24/7 to erase all your errors in quick time.
Posting Komentar