control keylogger dan spy agent … cara kerja antivirus dan firewall dalam menemukan dan menghapus...

CONTROL KEYLOGGER DAN SPY AGENT UNTUK MONITORING AKTIVITASKEYBOARD DALAM JARINGAN MICROSOFT WINDOWS

Mulki Indana Zulfa¹, Tri Brotoharsono², Setyorini³

¹Teknik Informatika, Fakultas Teknik Informatika, Universitas Telkom

AbstrakPengawasan terhadap penggunaan teknologi informasi sangat diperlukan terlebih semakinberkembangnya ilmu tentang pembuatan virus, worm, atau spyware. Memasang antivirus bisajuga menjadi solusi untuk mencegah virus masuk ke dalam jaringan atau sistem komputer. Tetapiantivirus tidak bisa melakukan monitoring terhadap aktivitas user contohnya aktivitas keyboard.

Keylogger adalah perangkat lunak yang mampu merekam segala aktivitas keyboard. Keyloggerharus diinstal terlebih dahulu pada target komputer (client) yang akan direkam aktivitaskeyboard-nya. Kemudian untuk mengambil file hasil rekamannya (file log), harus mempunyaiakses langsung ke komputer tersebut dan hal ini akan menjadi masalah jika komputer targetyang akan di-monitoring cukup banyak.

Metode control keylogger-spy agent dengan memanfaatkan Microsoft Winsock Control bisamenjadi solusi dari masalah tersebut. Spy agent akan secara aktif merekam aktivitas keyboardseseorang. File log yang dihasilkan akan disimpan di dalam memori komputer sehingga tidakakan menimbulkan kecurigaan user dan tidak perlu mempunyai akses fisik jika ingin mengambilfile lognya. Control keylogger dapat menghubungi spy agent mana yang akan diambil file lognya.File log yang berhasil diambil akan disimpan dengan baik di komputer server. Dari hasilpengujian spy agent terhadap antivirus, hanya commodo internet security yang menghentikan spyagent sebelum menginfeksi komputer target.

Kata Kunci : keylogger, control keylogger-spy agent, microsoft winsock control

AbstractSupervision of the use of information technology is necessary especially knowledge about makingthe viruses, worms, or spyware so fast. Installing antivirus can also become a solution to preventthe virus into the network or computer system. But antivirus can not do for monitoring useractivity eg. keyboard activity.

Keylogger is software that can record all keyboard activity. Keylogger must be installed to thetarget computer (client) that will recorded the keyboard activity. Then to retrieve the file ofrecords (log files), a person must have directly access to the computer and this will be a problemif the target computer that will monitored so much.

Control methods keylogger-spy agent by using the Microsoft Winsock Control could be thesolution of the problem. Spy agent will actively recording a keyboard activity. The resulting logfile will be stored in computer memory so it will not arouse suspicion and the user not to havephysical access if want to retrieve log files. Control keylogger can contact the spy agent whichwant to capture log files. Successfully log file will be stored properly on the server computer.From the test results only commodo internet security that can stop spy agent before infectingtarget computer.

Keywords : keylogger, control keylogger-spy agent, microsoft winsock control

Powered by TCPDF (www.tcpdf.org)

Tugas Akhir - 2010

Fakultas Teknik Informatika Program Studi S1 Teknik Informatika

1

1. PENDAHULUAN

5.1 Latar Belakang Masalah

Serangan virus, spyware dan program membahayakan lainnya semakin meningkat kuantitas maupun kualitasnya. Hal tersebut terjadi karena semakin berkembangnya ilmu tentang security komputer dan kelemahan – kelemahan yang ditemukan dalam sebuah sistem.

Spyware adalah program yang mampu memata-matai aktivitas pengguna komputer, dimana salah satunya adalah dapat merekam ketukan keyboard yang disebut keylogger. Pembuat keylogger berargumentasi betapa produk yang mereka buat sangat berguna untuk mencegah kerugian namun lebih banyak yang menganggap keylogger sebagai ancaman.

Keylogger merupakan sebuah perangkat, baik perangkat lunak maupun keras, bekerja di belakang layar atau tidak akan diketahui oleh user, yang menyebabkan setiap penekanan tombol akan dicatat. Keylogger dapat merekam apa saja yang user ketik, baik itu username, password, email, dokumen, dan lainnya.

Perangkat keras keylogger merupakan benda berwujud yang dapat disentuh, diraba, dan dipegang. Perangkat keras keylogger dipasang pada ujung kabel keyboard yang berperan sebagai perantara keyboard dengan Central Processing Unit (CPU). Berbeda dengan perangkat keras, perangkat lunak keylogger sama seperti perangkat lunak lainnya, yang harus diinstal terlebih dahulu sebelum digunakan.

Ada lima metode yang banyak digunakan oleh perangkat lunak keylogger diantaranya hypervisor-based, kernel-based, hook-based, passive-method, dan form grabber based. Kemudian di antara lima metode tersebut passive method adalah teknik yang paling banyak digunakan oleh pembuat keylogger. Metode ini banyak menggunakan fungsi Windows API (Appication Programming Interface) di antaranya dengan memanfaatkan fungsi GetAsyncKeyState(), GetForegroundWindow(), GetWindowText(), GetCapsState(), dan GetShiftState(). Fungsi tersebut digunakan untuk merekam segala aktivitas keyboard yang nantinya akan disimpan ke dalam file log tertentu dan dikirim ke sebuah alamat FTP Server atau Email seseorang.

Jika keylogger tersebut digunakan untuk aktivitas positif, misalnya seorang administrator jaringan yang ingin mengetahui aktivitas apa saja (monitoring) yang dilakukan oleh user dalam Local Area Network (LAN) dimana dalam LAN tersebut memiliki jumlah komputer yang cukup banyak dan dengan asumsi LAN tersebut tidak terkoneksi langsung dengan internet maka fungsi pengiriman file log tersebut ke sebuah FTP Server atau Email seseorang menjadi sia – sia. Selain itu administrator harus mempunyai akses secara langsung ke komputer target monitoring untuk mengambil file lognya. Jika keadaannya demikian maka proses monitoring akan menjadi sangat lama.

Salah satu solusi media pengiriman file log selain FTP dan Email adalah menggabungkan control keylogger dengan spy agent. Spy agent akan sengaja dijalankan di semua komputer client dalam LAN. Spy agent ini akan melakukan

Tugas Akhir - 2010


2

tugasnya sebagai keylogger yang akan merekam segala aktivitas keyboard user. Spy agent tidak akan membuat file log dalam komputer client karena memungkinkan user untuk menghapusnya jika file log tersebut secara tidak sengaja ditemukan oleh user. Spy agent ini hanya akan menyimpan semua aktivitas keyboard user dalam memori komputer. Selain itu spy agent harus diberikan kemampuan bertahan seperti mampu menggandakan diri (file ganda) agar mampu saling mengawasi dan bertahan dari serangan antivirus. Sedangkan control keylogger dapat menghubungi spy agent mana yang akan diambil file lognya. File log ini nantinya akan disimpan di dalam komputer server yang lebih aman.

Dalam implementasinya dibutuhkan windows socket yang akan menghubungkan control keylogger dengan spy agent. Dengan mekanisme ini proses monitoring aktivitas keyboard user diharapkan akan menjadi lebih cepat untuk studi kasus LAN yang mempunyai cukup banyak komputer dan LAN tersebut tidak terkoneksi internet secara langsung.

5.2 Perumusan Masalah

Dalam tugas akhir ini terdapat beberapa rumusan masalah sebagai berikut : 1. Bagaimana membuat perangkat lunak (spy agent) yang bertujuan untuk

monitoring aktivitas keyboard user dalam jaringan LAN. 2. Teknik bertahan seperti apa yang digunakan oleh spy agent agar tidak

mudah ditemukan dan dilumpuhkan baik oleh antivirus maupun user. 3. Bagaimana memanfaatkan Microsoft Winsock Control untuk

menghubungkan control keylogger dengan spy agent menjadi satu sistem yang terintegrasi.

Dengan batasan masalah dalam tugas akhir ini adalah sebagai berikut : 1. Aktivitas keyboard user yang akan di-monitoring meliputi data keyboard

state, caption window, dan data clipboard. 2. Sistem yang dibuat dirancang untuk berjalan dalam LAN berbasis

Windows XP. 3. Control keylogger akan dijalankan pada komputer server dan spy agent

akan sengaja dijalankan pada komputer client. 4. Sistem berjalan pada jaringan lokal yang tidak terkoneksi internet.

5.3 Tujuan

Tujuan dari tugas akhir ini adalah : 1. Membuat perangkat lunak control keylogger dan spy agent yang dapat

merekam aktivitas keyboard dengan metode file ganda sebagai teknik bertahan spy agent dan memanfaatkan Microsoft Winsock Control sebagai media penghubung antara control keylogger dan spy agent.

2. Menganalisis cara kerja antivirus dan firewall dalam menemukan dan menghapus spy agent.

Tugas Akhir - 2010


3

5.4 Metodologi Penyelesaian Masalah

Metodologi yang digunakan adalah sebagai berikut : 1. Identifikasi masalah

Memanfaatkan Microsoft Winsock Control sebagai media penghubung control keylogger dan spy agent agar file log hasil monitoring aktivitas keyboard dapat dikirim melalui LAN.

2. Studi literatur Mencari dan memelajari mengenai teknik – teknik bertahan yang digunakan oleh keylogger, memanfaatkan Windows API untuk keperluan merekam data keyboard state, serta memahami jaringan komputer berbasis Windows XP.

3. Analisis dan perancangan • Menganalisis kebutuhan sistem terhadap perangkat lunak yang

dibuat, dalam hal ini control keylogger dan spy agent. • Merancang bentuk topologi yang digunakan untuk pengujian.

Untuk memudahkan implementasi maka topologi yang digunakan adalah Star dengan bentuk sebagai berikut :

Gambar 1. Desain Topologi Jaringan

Jumlah komputer yang ada di LAN ada 4 unit, 1 sebagai server, tempat dimana control keylogger akan dijalankan, dan 3 unit yang lain sebagai client yang di dalamnya akan dijalankan spy agent. Semua sistem operasi yang akan digunakan adalah Windows XP.

4. Implementasi Implementasi dari hasil perancangan yang sudah ada ke dalam bahasa pemrograman Visual Basic 6 (VB6) karena VB6 dapat berjalan dengan baik pada sistem operasi Microsoft Windows.

Tugas Akhir - 2010


4

5. Pengujian Sistem Melakukan pengujian terhadap perangkat lunak yang dibuat berdasarkan

skenario pengujian. Skenario pada komputer client : • Spy agent akan dijalankan disetiap komputer client. • User akan diminta melakukan aktivitas yang menggunakan

keyboard seperti mengetik sebuah dokumen. • Komputer client yang menjadi target spy agent akan diinstal

antivirus yang berbeda – beda.

Sedangkan skenario pada komputer server : • Control keylogger akan dijalankan pada komputer server. • Control keylogger akan melakukan koneksi dengan salah satu

komputer client dan me-request terhadap file log yang telah direkam sebelumnya oleh spy agent.

• File log yang telah berhasil dikirim oleh spy agent akan disimpan di komputer server sehingga mudah untuk dikelola.

Kemudian akan dilakukan analisis hasil pada faktor – faktor berikut ini :

• Melihat kemampuan bertahan spy agent pada komputer yang terinstal antivirus.

• Melihat mampu tidaknya spy agent dalam merekam aktivitas keyboard kemudian mengirimnya lewat LAN.

• Hasil dari analisis tersebut kemudian akan dibandingkan dengan hipotesis awal seperti yang telah dijelaskan dalam tujuan penelitian.

6. Penyusunan laporan

Membuat laporan tugas akhir yang memuat kesimpulan dan saran terhadap sistem yang dibuat.

5.5 Sistematika Penulisan

Tugas akhir ini ditulis dengan sistematika sebagai berikut :

1 : Pendahuluan Bab ini berisi latar belakang, perumusan masalah dan batasan masalah, tujuan, metodologi penyelesaian masalah dan sistematika penulisan.

2 : Dasar Teori

Bab ini berisi penjelasan mengenai konsep spyware, keylogger, watcher method, Windows-32 API, dan Windows Socket API.

3 : Analisis dan Perancangan Sistem

Bab ini berisi penjelasan mengenai gambaran umum sistem yang dibuat, analisis kebutuhan sistem yaitu penjelasan fungsi – fungsi API apa saja yang digunakan, analisis kebutuhan control keylogger

Tugas Akhir - 2010


5

dan spy agent. Selanjutnya akan dipaparkan perancangan sistem yang dibuat serta perancangan antarmuka aplikasinya.

4 : Implementasi dan Pengujan Sistem

Bab ini berisi penjelasan mengenai lingkungan implementasi sistem dan rencana pengujian. Setelah itu sistem diuji berdasarkan skenario pengujian yang telah ditentukan. Hasil pengujian tersebut akan dilihat berdasarkan parameter uji apakah telah sesuai dengan tujuan penelitian.

5 : Kesimpulan dan Saran

Bab ini berisi kesimpulan dan saran terhadap sistem yang dibuat.


Tugas Akhir - 2010


42

5. Kesimpulan dan Saran

5.1 Kesimpulan

Kesimpulan dari tugas akhir ini adalah sebagai berikut :

1. Untuk mengatasi virus dengan teknik file ganda secara manual, user harus menggunakan aplikasi yang mempunyai kemampuan untuk mematikan beberapa proses secara bersamaan. Teknik file ganda akan sulit dilumpuhkan oleh user hanya dengan menggunakan bantuan windows tools saja seperti task manager dan regedit.

2. Kesalahan dalam memanfaatkan dan memilih fungsi API yang digunakan dapat membuat antivirus curiga dan akan diblok oleh antivirus walaupun misalnya aplikasi tersebut tidak bermaksud merusak sistem komputer.

3. Kemampuan antivirus akan lebih lengkap jika mempunyai kemampuan pattern scanning dan behavior detection secara sekaligus. Sehingga jika antivirus tidak mampu melihat dan mengerti instruksi yang mencurigakan pada sebuah file, maka antivirus ini dapat menganalisis melalui perilakunya ketika file tersebut dieksekusi.

4. Service antivirus yang berjalan pada task manager akan sangat berbahaya jika mampu dimatikan secara manual oleh user karena tentunya dapat dengan mudah juga dimatikan oleh virus atau malware lainnya.

5. Spyware dapat diketahui keberadaanya melalui sifatnya yang akan selalu melakukan koneksi keluar untuk mengirim file lognya dan hal ini tidak bisa dideteksi oleh antivirus melalui pattern scanning-nya sehingga dibutuhkan firewall tambahan untuk mendeteksi koneksi tersebut.

5.2 Saran

Sedangkan saran untuk tugas akhir ini adalah :

1. Agar kemampuan bertahan spy agent lebih kuat lagi disarankan untuk menggunakan beberapa teknik bertahan sekaligus seperti teknik enkripsi (mengenkripsi code virus sehingga tidak mudah dibaca) dan polymorphic (membuat spy agent mengubah ukuran maupun nama setiap menginfeksi).

2. Spy agent yang dibuat disarankan mempunyai kemampuan menyebarkan diri melalui LAN sehingga makin banyak komputer yang dapat dijadikan target monitoring.

3. Control keylogger yang dibuat disarankan mempunyai fasilitas untuk men-scan komputer yang di dalamnya sudah terdapat spy agent sehingga tidak perlu lagi mengingat IP Address komputer target monitoring.

4. Untuk penelitian lebih lanjut, disarankan untuk menambahkan analisis pelacakan spy agent oleh beberapa firewall.

Tugas Akhir - 2010


1

Daftar Pustaka

[1] Darmal, Achmad, 2007, “Computer Worm 1”, Jasakom, Jakarta. [2] Darmal, Achmad, 2007, “Computer Worm 2”, Jasakom, Jakarta. [3] HSC Guides Ethical Hacker, 2008, ”Buffer-Overflow”,

”http://www.hackerscenter.com/index.php?/HSC-Guides/Ethical-acker/Buffer-overflow.html”, diakses tanggal 15/10/2009.

[4] Post, Andre, 2003, The Dangers of Spyware, USA : Symantec,

http://eval.symantec.com/mktginfo/enterprise/white_papers/ent_whitepaper_dangers_of_spyware_06_2003.pdf, diakses tanggal 13/10/2009.

[5] Saputra, Johan, 2005, “Eksplorasi Kekuatan WIN-32 API dengan Visual

Basic”, PT. Elex Media Komputindo, Jakarta.

[6] S’to, 2007, ”Seni Teknik Hacking 2”, Jasakom, Jakarta. [7] S’to, 2009, “CEH Certified Ethical Hacker 200% Illegal”, Jasakom,

Jakarta.

[8] Wardana, Ari, 2006, “Pemrograman Virus dan Spyware”, Jasakom, Jakarta.

[9] Wikipedia (the free encyclopedia) Article, 2008, ”Keystroke logging”,

http://en.wikipedia.org/wiki/Keystroke_logging, diakses tanggal 13/09/2009.

[10] __________, Anti-Virus Comparative No.25 February 2010,

http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf, diakses tanggal 24/03/2010.

[11] __________, Introduction to Socket Programming,

http://www.cs.ucr.edu/~ddreier/socketTCP.doc, diakses tanggal 29/10/2009.

[12] __________, Proactive Security Challenge,

http://www.matousec.com/projects/proactive-security-challenge/results.php, diakses tanggal 26/05/2010.

[13] __________, Winsock 2 API Architecture,

http://www.herongyang.com/Windows/Winsock-2-API-Architecture.html, diakses tanggal 29/10/2009.


Tugas Akhir - 2010


2

Lampiran A : Bukti Pengujian Printscreen file log pengujian user 1

A-1


Tugas Akhir - 2010


control keylogger dan spy agent … cara kerja antivirus dan firewall dalam menemukan dan menghapus...

Documents