21 July 2007

Mengaktifkan program di Windows tanpa diketahui pemakainya

Tulisan ini ditulis dengan tujuan memberi pengetahuan kepada pemakai komputer, terutama yang menggunakan sistem operasi Windows, akan adanya fasilitas autostart yang pada satu sisi sangat bermanfaat untuk secara otomatis menjalankan aplikasi setiap mengaktifkan komputer. Tetapi fasilitas ini juga banyak digunakan oleh para hacker untuk mengaktifkan program remote yang telah dimasukkan ke komputer tanpa diketahui oleh korban.

Dewasa ini telah beredar berbagai program yang dapat berjalan secara background pada komputer, umumnya program ini digunakan untuk tugas-tugas tertentu yang tidak mengganggu perhatian pemakai, misalnya program Task Scheduler yang akan menjalankan program tertentu berdasarkan jadwal yang dibuat, program Messanger yang akan aktif ketika kita dipanggil oleh rekan melalui internet.

Tetapi banyak juga program background yang digunakan untuk tujuan yang tidak baik, seperti remote akses dimana aktifitas kita dapat dilihat melalui suatu remote software, bahkan dapat mengambil file dari media penyimpan tanpa kita ketahui melalui LAN maupun Internet, bahkan beberapa trojan berjalan di background dan secara mengambil user id dan password pemakai, dan mengirimkannya melalui internet.

Sebagai seorang yang bergerak dibidang IT, saya sering ditanya oleh orang-orang tertentu bagaimana mengetahui apa yang sedang dikerjakan bawahannya, apakah mereka benar-benar sedang mengerjakan pekerjaan kantor atau sedang bermain-main. Jawabnya tentu saja menginstalasi program remote administrator yang berjalan di background, sehingga pemakai tidak akan sadar bahwa aktifitas layarnya sedang diawasi.

Sebagai pemakai komputer yang awam, tentu saja kita perlu mengetahui adanya hal-hal tersebut, terutama dengan makin pentingnya komputer dalam perdagangan dan industri, misalnya Internet Banking, E-Commerce. Pengetahuan akan metode autostart ini akan menjadi nilai tambah bagi anda, terutama pemakai yang memiliki pengetahuan terbatas tentang komputer dan sistem operasi.


Beberapa metode autostart pada Windows

Banyak program Windows memiliki kemampuan untuk mengaktifkan dirinya setiap kali anda mengaktifkan komputer anda. Teknik ini juga digunakan oleh berbagai trojan untuk mengaktifkan dirinya. Adapun metode-metode ini adalah sebagai berikut :

Menjalankan Windows dari autoexec.bat secara win nama_program, dimana nama_program adalah program yang akan diaktifkan.

Mengikutsertakan dirinya dalam file winstart.bat

Menggunakan perintah LOAD= atau RUN= pada file win.ini

Menambah dirinya di shell=explorer.exe nama_program pada file system.ini, ini adalah salah satu metode yang digunakan oleh SubsSeven untuk mengaktifkan dirinya setiap anda start windows.

Menduplikasikan dirinya atau membuat shortcut pada direktori C:\WINDOWS\Start Menu\Programs\StartUp, metode ini digunakan oleh microsoft office untuk mengaktifkan fasilitas findfast, dan office toolbar
Menjalankan dirinya dari salah satu registry key berikut ini :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

dengan key :

* Run
* RunOnce, dimana key harus dibentuk kembali setelah launch
* RunOnceEx, dimana key harus dibentuk kembali setelah launch
* RunService, dimana key harus dibentuk kembali setelah launch
* RunServiceOnce, dimana key harus dibentuk kembali setelah launch

HKEY_CLASSES_ROOT\exefile\shell\open\command
[dari pada "%1" %* . Metode ini sangat sukar dimengerti dan licik]

Memeriksa program-program yang dijalankan pada StartUp komputer anda !!!

Anda dapat memeriksa kondisi berdasarkan point-point diatas dengan menggunakan utility yang tersedia pada windows seperti :

SysEdit.Exe, yang terdapat pada \Windows\System, yang dapat anda jalankan dari Start, Run, kemudian ketik SysEdit.Exe, kemudian klik OK, otomatis akan membuka file Config.sys, Autoexec.bat, System.ini, Win.ini dan Protocol.ini.

MsConfig.Exe, adalah tools visual yang lebih friendly, saya sarankan sebaiknya anda menggunakan tools ini, kemudian pilih tab StartUp, disana anda dapat memilih program-program yang akan dijalankan di pada saat StartUp, dan mana saja yang ingin dibuang.

Beberapa hal yang perlu anda ketahui untuk menjaga perfomance Windows anda !!!

Pada dasarnya, hanya item-item yang berguna yang akan berada pada SystemTray "SysTray.exe", dan driver-driver tambahan yang dibutuhkan agar perangkat keras khusus tertentu dapat bekerja dengan baik, seperti scanner, kamera digital, yang umumnya dijalankan dengan menggunakan HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

Jika anda menginstall TweakUI akan terdapat Tweak UI "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" pada HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.

Hal lain yang mungkin ada jika anda menginstalasi program antivirus (yang mana akan memperlambat sistem anda secara keseluruhan, tetapi benar-benar berguna, karena akan memeriksa keberadaan virus/trojan pada akses disk, maupun file, serta email attachment).

Jangan lupa lakukan pemeriksaan terhadap kemungkinan duplikat terhadap program-program tertentu, kadang-kadang suatu program perlu dijalankan lebih dari satu cara.
Sebenarnya RunOnce key dan sejenisnya digunakan untuk menyelesaikan proses instalasi software dimana perlu mengkonfigurasikan dirinya pada proses boot pertama kali setelah diinstalasi, terutama pada software yang setelah diinstalasi memberikan pesan "This installation requires to restart your system to be completed, you want to reboot now or later?"

Jika sistem anda dalam keadaan bersih, maka ketika anda mengaktifkan task monitor (CTRL+ALT+DEL) sesaat setelah Windows anda diboot, anda seharusnya hanya melihat Explorer, SysTray, dan driver-driver yang dibutuhkan untuk hardware-hardware spesial tertentu.

No comments: