Kunci Utama Registry

1.a. Kunci Utama Registry Windows
Registry windows terdiri dari 5 Key sebagai kunci utama yaitu :
HKEY_CLASSES_ROOT (HKCR);
HKEY_CURRENT_USER (HKCU);
HKEY_LOCAL_MACHINE (HKLM);
HKEY_USERS (HKU)
HKEY_CURRENT_CONFIG (HKCC).
HKCC mempunyai Key Software dan Key System. Dan Key System mempunyai anak lagi yaitu
Current Control Set, dan Key Current Control Set mempunyai anak Key Control dan Key Enum,
dan seterusnya yang tidak dapat dijelaskan secara rinci disini

1.b. Setiap Kunci Utama (Key) Pada Registry Memiliki Nilai (Value)
Value merupakan isi dari setiap key yang ada di registry windows. Dilihat dari tipe
datanya, value memiliki 3 jenis data, yaitu DWORD dengan jenis angka atau integer, STRING
dengan jenis karakter (huruf) atau kalimat, BINARY dengan jenis angka biner, dan masih ada
beberapa jenis lain, namun tidak dibahas karena jarang dipakai dalam registry itu sendiri.

1.c. Alamat Registry
Dalam hal pengaturannya, registry windows mempunyai alamat yang berguna untuk
mengatur konfigurasi pada windows, misalnya :
Untuk menjalankan suatu aplikasi secara otomatis, dapat dilihat pada alamat
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \

Untuk memanipulasi kode explorer, dapat dilihat pada alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\

Untuk memanipulasi drive penginstalan, lisensi pada windows, dapat dilihat pada alamat:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\

2. Registry Sasaran Virus Lokal
Dari sekian banyak alamat registry yang memiliki fungsi masing-masing, hanya
sebagian alamat registry saja yang menjadi sasaran virus untuk mengatur penyerangan dan
perlindungan virus yang biasa di exploitasi oleh virus lokal. Paling tidak jika menemukan virus
lokal, sebaiknya cek di alamat registry ini:

2.a. Registry Mengaktifkan Virus Lokal
Berguna untuk memicu file virus agar otomatis aktif pada saat startup, virus akan
mengakses alamat ini dan memberikan nilai alamat dimana file virus berada, dan akan selalu
aktif setiap kali startup, dengan alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2.b. Registry Menyembunyikan Extension File
Pada alamat registry ini biasanya digunakan untuk menyembunyikan extension file.
Biasanya virus menyembunyikan extension file untuk menipu user, seperti yang dilakukan oleh
sebagian virus lokal, hal ini dapat dilakukan pada registry dengan alamat :
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Key : HideFileExt
Value : 1

2.c. Registry Menyembunyikan File Hidden
Alamat registry ini berguna untuk menyembunyikan file dengan atribut hidden. Jadi
untuk mempertahankan kelangsungan hidupnya, virus menyembunyikan diri dengan mengatur
file beratribut hidden. Walaupun sebenarnya ada teknik lain, yaitu dengan membuat nama file
utama virus mirip dengan nama system file di windows, misalnya file svchost, lsass, csrss, dan
lain – lain, nama file tersebut mirip dengan nama file system yang ada pada windows, alamat
registry untuk menyembunyikan file yang beratribut hidden tersebut adalah (Lihat Gambar-4) :
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Key : Hidden
Value : 0
File yang beratribut hidden pada windows explorer ditandai dengan icon yang kabur.
file tersebut dapat disembunyikan dengan alamat registry di atas tadi. Sehingga pada windows
explorer, semua file yang beratribut hidden tidak akan terlihat, begitu juga dengan file virus
dalam menyembunyikan dirinya. file virus tidak akan terlihat karena file tersebut diatur dengan
atribut hidden.


2.d. Registry Memblokir Regedit
Registry ini berguna untuk
mengunci regedit yang ada di
windows. Sehingga bila mencoba
masuk ke registry, maka akan
muncul pesan pemblokiran : "registry editing has been disabled by your administrator"
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\
Key : DisableRegistryTools
Value : 1

2.e. Registry Memblokir Command Prompt
Gambar-7: Pesan command prompt yang diblokir
Registry ini
berguna untuk mengunci
command prompt.
Sehingga bila mencoba
masuk ke command
prompt, maka akan timbul
pesan pemblokiran "command prompt has been disabled by your administrator"
Alamat : HKCU\Software\Policies\Microsoft\Windows\System\
Key : DisableCMD
Value : 1

2.d. Registry Memblokir Task Manager
Registry ini berguna untuk
mengunci Task Manager. Sehingga
bila mencoba masuk ke Task
Manager, maka akan timbul pesan
pemblokiran "task manager has been disabled by your administrator"
Gambar-8: Pesan task manager yang diblokir
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\
Key : DisableTaskMgr
Value : 1



3. System Editor ( SysEdit )
Selain virus menyerang daerah registry,
virus juga akan menyerang sysedit atau
sistem editor. System editor atau yang
biasa disingkat dengan Sysedit adalah file
tertentu yang dijalankan. ketika komputer
masuk ke windows pertama kali, seperti
halnya regedit. Sysedit ini biasanya masih
banyak dipakai di sistem operasi windows
lama seperti win95, Win98, Win3.1,
walaupun memang sudah lama, secara
tidak langsung berpengaruh juga pada user
yang memakai sistem operasi windows
XP. Untuk melihat sysedit ini klik
StartRunKetik sysedit

Jadi sebenarnya dalam sysedit ini, bisa memanipulasi file yang pertama kali dieksekusi oleh
windows ketika windows berjalan di komputer anda. File yang dimaksud dapat dijelaskan
sebagai berikut :

3.a. Config.sys
Config.sys adalah file yang memuat tentang seluruh konfigurasi windows dan
dijalankan ketika pertama kali windows mulai. Letak file ada di drive C:\ dan mempunyai
atribut file system dan hidden.

3.b. Autoexec.bat
Autoexec.bat adalah file yang berisi perintah yang ada di komputer dan akan dijalankan
pertama kali ketika windows berjalan. Letak file ada di drive C:\ dan mempunyai atribut file
system dan hidden.

3.c. Win.ini
Win.ini juga sebuah file yang dieksekusi pertama kali oleh windows. File ini berisi
tentang aplikasi 16 bit yang di-support oleh windows.


3.d. System.ini
System.ini adalah sebuah file yang berguna untuk menyimpan data font yang diakses
oleh windows ketika pertama kali.

4. Folder Yang Sering Menjadi Target Serangan Virus Untuk Pertahanan
Selain akan menginfeksi registry, virus juga akan menggandakan diri ke beberapa
folder yang dianggap penting dan rawan, hal ini dimaksudkan agar keberadaan virus tetap eksis
dan sulit diketahui oleh pemakai, karena pada umumnya file yang berada pada folder-folder
penting dianggap rawan untuk dihapus, sebab akan mempengaruhi kinerja sistem. Adapun
alamat folder yang sering adalah : c:\windows, c:\windows\system, c:\windows\system32

Cara Kerja Pencegahan Dan Perlindungan Dari Virus Lokal:


Cara kerja teknik pencegahan dan perlindungan dari virus lokal ini adalah kebalikan
dari virus itu sendiri, terutama dalam hal infeksi registry. Hal ini dimaksudkan agar dapat
mengakses registry, command prompt, msconfig dan masih banyak lagi, sehingga dapat melacak
keberadaan file induk virus lokal yang dimaksud, mengetahui bagaimana virus tersebut
menyerang, bertahan, dan pada bagian apa saja virus tersebut melakukan berbagai perubahan.

Berikut ada contoh perintah visual basic script yang dapat dibuat dengan text editor notepad dan
disimpan dengan nama file ber extention vbs (contoh : bongkarvirus.vbs),


on error resume next
dim infreg, almreg

rem -- dapat memilih beberapa beberapa baris scrip saja sesuai kebutuhan

set infreg = createobject("WScript.Shell")

rem -- membongkar beberapa fasilitas yang diblokir
almreg = "HKCU\Software\Policies\Microsoft\Windows\Syst em\"
infreg.RegWrite almreg & "DisableCMD","0", "REG_DWORD"

almreg = "HKCU\Software\Microsoft\Windows\CurrentVersio n\"
infreg.RegWrite almreg & "Policies\System\DisableTaskMgr","0","REG_DWOR D"
infreg.RegWrite almreg & "Policies\System\DisableMsConfig","0","REG_DWO RD"
infreg.RegWrite almreg & "Policies\System\DisableRegistryTools","0","REG_DW ORD"

rem -- membongkar beberapa fasilitas yang dihidden
infreg.RegWrite almreg & "Explorer\Advanced\Hidden","0","REG_DWORD"
infreg.RegWrite almreg & "Explorer\Advanced\HideFileExt","0","REG_DWORD "
infreg.Regwrite almreg & "Explorer\Advanced\ShowSuperHidden","0x0000000 0"

almreg = "HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\"
infreg.RegWrite almreg & "DisableSR","0","REG_DWORD"

almreg = "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\"
infreg.Regwrite almreg & "Folder\SuperHidden\type","checkbox"
infreg.Regwrite almreg & "Folder\HideFileExt\type","Checkbox"

rem -- membongkar kemabali beberapa fasilitas yang disembunyikan untuk dimunculkan
almreg = "HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer\"
infreg.RegWrite almreg & "NoRun", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoFind", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoClose", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoViewOnDrive", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoControlPanel", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoFolderOptions", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoViewContextMenu", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoStartMenuMorePrograms", "0", "REG_DWORD"


rem -- mengembalikan beberapa inisial yang dirubah untuk mempublikasikan virus
almreg = "HKCU\Software\Microsoft\Internet Explorer\Main\"
infreg.Regwrite almreg & "Start page","About:blank"

almreg = "HKLM\Software\Microsoft\Windows NT\CurrentVersion\"
infreg.Regwrite almreg & "ProductId","Your ID"
infreg.Regwrite almreg & "RegisteredOwner","Owner"
infreg.Regwrite almreg & "RegisteredOrganization","Organization"

Thanks for Gokou