Issue‎ > ‎Issue 05‎ > ‎

013.txt


	____________________   ___ ___ ________   
	\_   _____/\_   ___ \ /   |   \\_____  \  
	 |    __)_ /    \  \//    ~    \/   |   \ 
	 |        \\     \___\    Y    /    |    \
	/_______  / \______  /\___|_  /\_______  /
	        \/         \/       \/         \/ 


					    .OR.ID
ECHO-ZINE RELEASE
       05

Author: y3dips || y3dips@echo.or.id || y3d1ps@telkom.net
Online @ www.echo.or.id :: http://ezine.echo.or.id



==Minimalisasi service yang berjalan di windows anda (XP)==

ditujukan untuk mencegah eksploitasi dengan kaht (rpc eksploit)
di coba di XP operating system version 2002 service pack 1


description artikel :

	artikel ini murni ditulis sebagai suatu riset alias ujicoba, semua hasil
	adalah bukan rekayasa :P, tetapi apa adanya sesuai dengan kemampuan 
	penulis dalam memahami sistem operasi windows, bisa jadi akan berbeda 
	hasilnya bila dilakukan oleh orang lain dengan kemampuan lain,
	
	semua hasil tidak dianjurkan untuk di coba seutuhnya, karena minimal
	anda harus siap dan mau bereksperimen jika tidak cukuplah ini sebagai
	santapan otak anda saja.

			 "dont try it, if ur not sure about it"

preface :
	sebagaimana lazimnya sistem operasi yang "tertutup " maka windows 
	datang dengan service-service default yang apabila tidak kita teliti 
	dapat sangat berbahaya, berbeda sekalI dengan sistem operasi yang 
	bersifat open source. tetapi artikel ini bukan bermaksud membanding 
	bandingkan atau menjelekkan windust tetapi disini aku akan berusaha 
	memberikan sedikit tips untuk meningkatkan keamanan pada sistem operasi 
	yang anda gunakan. walaupun mungkin tips ini tidak membantu 
	cukup banyak untuk menutupi "lubang" padA windust apalagi untuk 
	memperbaiki 'citra' nya yang telah 'tercoreng'.

	kasus demi kasus terus mencoreng sistem operasi ini, kasus tErakhir 
	yang cukup mengguncangkan adalah kebocoran pada RPC DCOM sertA berbagai 
	worm yang cukup membuat microsuck berkeringat :P.baiklah , cukup sudah 
	pembicaraan kita..KARENA Artikel ini dibuat bukan untuk menjelek jelekkan
	suatu OPs tertentu (ups) hehehe

	Ingat artikel yang di buat oleh the_day ? hacking windows 2K && XP , 
	artikel ini awalnya kami coba arahkan agar dapat  digunakan untuk 
	mengatasinya dan membantu menutupi kebocoran tersebut :P sehingga tidak 
	bisa di eksploitasi lagi, ternyata?  riset yang dilakukan masih belum 
	memuASKAN ALIAS .. baca aaja deh . di bagian terakhir ada hasil ujicoba
	kami untuk melawan kaht2


main content :
"percobaan pada windows XP version 2002 service pack 1"

baiklah mari kita mulai,

[kenali service]
pertama -tama anda perlu untuk mengetahui services yang berjalan di pc atau '
di server anda,bagaimana caranya? bagi penggguna *nix ops sytem pasti tak 
asing lagi dengan keampuhan "ps -aux" :) , bagaimana dengan windust? anda 
bisa melihatnya secara under windows dengan menekan tombol "Ctrl + Alt + Del" 
secara bersamaan , maka akan muncul windows task manager, dan anda dapat 
mengklik tab processes, nah itulah services yang berjalan di pc anda.
, dan juga dapat menggunakan program pslist (penulis menggunakan ini) 

PsList for Windows NT/2K/XP
Copyright (C) 1999-2002 Mark Russinovich
Sysinternals - www.sysinternals.com

adapun hasil yang diperoleh  ternyata lebih mendetail dibanding windows task manager:

Name     	Pid Pri Thd  Hnd    Mem     User Time   Kernel Time   Elapsed Time
Idle      	   0   0   1    0     20   0:00:00.000   0:12:34.815    0:00:00.000
System    	   4   8  48  130    216   0:00:00.000   0:00:07.190    0:00:00.000
SMSS    	 428  11   3   21    344   0:00:00.010   0:00:00.070    0:18:52.728
csrss   	 484  13  10  316   2952   0:00:00.731   0:00:02.503    0:17:51.240
winlogon	 508  13  21  505   2108   0:00:00.931   0:00:01.311    0:17:49.417
services	 552   9  16  254   2908   0:00:00.370   0:00:01.562    0:17:46.323
lsass   	 564   9  19  282    848   0:00:00.330   0:00:00.460    0:17:46.283
svchost 	 840   8   4   44   1424   0:00:00.020   0:00:00.020    0:17:39.884
svchost 	 864   8  15  132   2868   0:00:00.060   0:00:00.040    0:17:38.882
spoolsv  	1004   8  10  112   3084   0:00:00.050   0:00:00.110    0:17:35.247
Explorer   	1400   8  15  298  20984   0:00:04.015   0:00:06.509    0:17:28.087
Tvrmvcr    	1692   8   2   86   3240   0:00:01.532   0:00:11.196    0:17:17.722
ntvdm     	 116   8   4   41   1972   0:00:01.812   0:00:00.300    0:15:43.526
NOTEPAD    	 240   8   1   21   2016   0:00:00.170   0:00:00.190    0:14:50.109
WORDPAD  	 252   8   3  115   6656   0:00:06.098   0:00:05.207    0:14:42.709
cmd      	1132   8   1   20   1076   0:00:00.020   0:00:00.020    0:00:00.360
pslist     	1252  13   2   70   1472   0:00:00.040   0:00:00.010    0:00:00.170

nah, sekarang kita tahu services apa saja yang berjalan di pc/server kita.
oke !!


atau dapat melihat pada windows task manager,tekan Ctrl +alt + Del secara bersamaan
dan liat processes tab.

sekarang untuk mengetahui services jaringan yang berjalan di komputer kita , maka
dapat kita gunakan perintah NETSTAT

C:\>netstat /?

Displays protocol statistics and current TCP/IP network connections.

NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval]

  -a            Displays all connections and listening ports.
  -e            Displays Ethernet statistics. This may be combined with the -s
                option.
  -n            Displays addresses and port numbers in numerical form.
  -o            Displays the owning process ID associated with each connection.
  -p proto      Shows connections for the protocol specified by proto; proto
                may be any of: TCP, UDP, TCPv6, or UDPv6.  If used with the -s
                option to display per-protocol statistics, proto may be any of:
                IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, or UDPv6.
  -r            Displays the routing table.
  -s            Displays per-protocol statistics.  By default, statistics are
                shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and UDPv6;
                the -p option may be used to specify a subset of the default.
  interval      Redisplays selected statistics, pausing interval seconds
                between each display.  Press CTRL+C to stop redisplaying
                statistics.  If omitted, netstat will print the current
                configuration information once.

sekarang kita akan memakai NETSTAT -ANO

C:\DOCUME~1\Y3DIPS>netstat -ano

  Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       904
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    544
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:123          *:*                                    744
  UDP    127.0.0.1:1900         *:*                                    904
  UDP    127.0.0.1:23909        *:*                                    1748

kita melihat seluruh koneksi dan listening port serta alamat dan nomor port
serta process IDnya.(pc ujicoba tidak dipakai untuk koneksi ke jaringan)
dari sini kita dapat mengetahui port yang default terbuka padahal kita stand
alone.

wowww banyak banget :(

tcp : 135, 445, 1025, 1027, 5000, 3001, 3002 , 3003
udp : 135, 445, 500, 1026, 3006, 123, 1900, 23909

(cat : tidak selalu sama untuk setiap pc)

1. port udp 500 digunakan oleh protokol IKE (internet key exchange) dapat 
di tutup dengan menghentikan service IPsec 

C:\>net stop policyagent 
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.


Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       904
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:123          *:*                                    744
  UDP    127.0.0.1:1900         *:*                                    904
  UDP    127.0.0.1:23909        *:*                                    1748

lihatlah, udp 500 telah hilang :D

2. C:\>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:123          *:*                                    744
  UDP    127.0.0.1:23909        *:*                                    1748

3. C:\>net stop w32time 
The Windows Time service is stopping.
The Windows Time service was stopped successfully.

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:23909        *:*                                    1748

4.C:\>net stop rdr
The following services are dependent on the Workstation service.
Stopping the Workstation service will also stop these services.

   Messenger
   Computer Browser

Do you want to continue this operation? (Y/N) [N]: y
The Messenger service is stopping.
The Messenger service was stopped successfully.

The Computer Browser service is stopping.
The Computer Browser service was stopped successfully.

The Workstation service is stopping.
The Workstation service was stopped successfully.

C:\>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:23909        *:*                                    1748

C:\>net stop srv
The Server service is stopping.
The Server service was stopped successfully.


C:\>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:23909        *:*                                    1748

C:\>net stop netbt
The following services are dependent on the NetBios over Tcpip service.
Stopping the NetBios over Tcpip service will also stop these services.

   DHCP Client

Do you want to continue this operation? (Y/N) [N]: y
The DHCP Client service is stopping.
The DHCP Client service was stopped successfully.


The NetBios over Tcpip service was stopped successfully.


C:\>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       700
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       744
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       4
  TCP    127.0.0.1:3001         0.0.0.0:0              LISTENING       1312
  TCP    127.0.0.1:3002         0.0.0.0:0              LISTENING       744
  TCP    127.0.0.1:3003         0.0.0.0:0              LISTENING       744
  UDP    0.0.0.0:135            *:*                                    700
  UDP    0.0.0.0:1026           *:*                                    744
  UDP    0.0.0.0:3006           *:*                                    1748
  UDP    127.0.0.1:23909        *:*                                    1748


#tcp dan udp port 445 telah hilang juga :D


[ inti artikel adalah ujicoba berikut ini ]

sisanya adalah beberapa port yang dipakai oleh RPC services

RPC (REMOTE PROCEDURE CALL) services

 port 135 di gunakan oleh RPC portmapper dan COM service control manager.
 port dengan nomer >1023 biasanya digunakan oleh services services yang 
 digunakan oleh service-service RPC dan DCOM (ORPC), port port ini secara 
 dynamic diberikan (berubah-ubah ? :P) 
 
 untuk melihat service service rpc tersebut menggunakan port apa saja baik
 tcp atau udp dapat di lihat di 
 http://razor.bindview.com/tools/desc/rpctools1.0-readme.html

 atau bisa menggunakan rpcdump tools

 khusus pada XP , port 1027 dengan protokol UDP di gunakan oleh service 
 RPC untuk service messenger

 sedangkan TCP port 1025 digunakan oleh service rpc yang menangani 
 task scheduler. 

DCOM
 
 port yang tetap tebuka adalah port 135 , port ini dibuka oleh RPCss service
 dan tidak mungkin untuk di disable karena service ini mengandung COM
 service control manager yang digunakan oleh local processes.

 ####DISINI MASALAH KITA TERHADAP EKSPLOITASI DENGAN KAHT#####
 
 saya melakukan beberapa percobaan :

 1. mematikan service RPC secara manual
 
   	masuk ke windows services yang terletak pada control panel>
 	administrative tools >services

	atau dengan mengetikkan perintah di bawah ini dari konsole

   - C:\>services.msc

 
   setelah itu pergi ke services remote procedure call (RPC)
   kita dapat mematikan services service lainnya bahkan kita tak perlu
   ketik manual seperti diatas :D (sengaja!!!) ,
   kita dapat mematikan rpc locator, COM system dan COM event tetapi 
   masalahnya adalah kita tidak bisa mematikan rpc services..

   ups kelupaan ada yang perlu dibahas :( , berikut akan kita bahas apa itu rpc .


   [ Remote Procedure Call (RPC) ]

	glossary windows help

	remote procedure call (RPC)

	RPC adalah suatu fasilitas penyaluran data yang mengizinkan
	aplikasi aplikasi yang menggunakan sistem terdistribusi untuk
	dapat menggunakan/memanggil service-service yang tersedia 
	pada bermacam macam komputer yang terhubung kejaringan  (WWWOOOOW)
	biasanya di gunakan bersama sama dengan remote administration!!

		sedangkan,
	    	remote administration

		adalah pengaturan administrasi suatu komputer oleh admin
		yang bekerja dari komputer lainnya yang terhubung ke komputer
		tersebut lewat jaringan.


	* jika terjadi kegagalan pada services RPCss (gangguan) maka komputer 
	akan otomatis di restart (defaultnya)

	path yang akan dieksekusi :

	C:\WINDOWS\system32\svchost -k rpcss

	kompenen lain dari sistem yang tergantung pada services ini adalah :

	- Background intelegent transfer service; 	
	- COM+even system
	- COM+system appl,ication
	- Cryptographic services
	- Distributed Link Tracking client	
	- Distributed Transaction Coordinator
	- Error Reporting service
	- Help and support
	- Human Interface Device Access
	- Indexing service
	- Infrared Monitor
	- IPSEC services
	- Logical Disk Manager
	- Logical Disk Manager Administrative service
	- Messenger
	- Ms Software shadow Copy Provider
	- Network Connections
	- Print Spooler
	- Protected storage
	- QOS RSVP
	- Remote Desktop Help session manager
	- Remote registry
	- Removable storage
	- Routing and Remote access
	- Security Accounts Manager
	- Shell Hardware Detection
	- System Restore Service
	- Task scheduler
	- Telephony
	- Telnet
	- Terminal Services
	- Upload manager
	- Volume Shaddow Copy
	- Windows Audio
	- Windows Image Acquisition (WIA)
	- Windows Installer
	- Windows Management Instrumentation
	- Wireless Zero Configuration
	
	lihatlah betapa banyak service yang terkait dengan service rpc ini. :C

    [end about RPC]


    yup kita sambung cara pertama, maka setelah masuk ke window services 
    cari services rpc, terus click properties.
    kita lihat  services ini di nyalakan otomatis dan tidak bisa di ubah :(
    ibarat backdoor yang sempurna sekali ( :P) << ups bukan ini yang kita bhs!

    oke setelah ke properties kita akan merubah yang dilakukan sistem jika 
    terjadi fail, click tab recovery dan rubah semua ketiga kondisi saat failure
    dari default ="restart computer" menjadi ="take no action" agar setelah 
    kita mematikan servicesnya secara manual dia tidak kembali merestart 
    services dengan cara merestart komputer.selanjutnya tekan OK

    oke, selanjutnya tekan Ctrl +ALt + Del di desktop dan pilih processes
    matikan seluruh services svchost , semuanya :D

    setelah itu sukses degh, coba aja eksploitasi pake kaht sendiri pasti degh
    pasti gak bisa di eksploitasi :D, tetapi .... ada tapinya nih

   	"komputer anda akan menjadi tidak stabil alias bisa bisa error
	seperti komputer yang saya pake ujicoba alhasil windustnya di 
	install ulang :( :P dan juga cara ini setiap restart anda harus
	mematikan svchostnya kembali secara manual :P ,atau bisa di buatkan'
	servicenya"
	
	##### jadi cara ini untuk pengetahuan aja, alias dont try it ####

    2. hapus di registry, 

	##### ingatlah untuk membackup registry anda sebelumnya #### 	

    pernah saya temnukan satu artikel berbahasa inggris 
    yang mengunakan   registry untuk mematikan services RPC, tetapi sayangnya 
    apa karena ilmu penulis yang terbatas terhadap sistem operasi ini atau 
    artikelnya tidak mengena maka hal ini tidak berhasil dilakukan, setelah
    komputer restart yang seharusnya sistem menjalankan registry baru hasil
    editan pun tak bisa menutup port 135 dan port yang di pakai rpc services
    lainnya, adapun cara itu adalah :


    	Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
 	Value: DCOM Protocols
	Type: REG_MULTI_SZ

    baik penghapusan KEy RPC di registry ataupun mengedit default settingan 
    value dan sebagainya telah di coba tapi hasilnya sangat tidak memuaskan
    alias gak bisa

	sedangkan untuk key rpcss

	Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\

	PENGHAPUSAN KEY AKAN SANGAT SUKSES, alias semua services musnah :d

	apabila anda netstat -ano apa yang akan anda dapatkan :D adalah :

	C:\>netstat -ano

	Active Connections

 	Proto  Local Address          Foreign Address        State           PID
  	TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  	UDP    0.0.0.0:445            *:*                                    4
  

	:D :D ups jangan senang dulu, securing sih berhasil , tapi apa kabar 
	dengan windows anda ?:P
	
	setelah restart anda hanya akan menemui halaman desktop saja tanpa
	taskbar dan lain lainnya :D, untuk meload task baru anda harus manual
	dari windows task manager dengan Ctrl +alt +del dan tekan new task
	ketikkan apa yang anda ingini, command ?, notepad?

	itupula yang saya lakukan untuk mengecek apakah berhasil , 
	tekan Ctrl + Alt + Del terus new task
	ketikkan command, baru deh di command prompt ketik netstat -ano
	alhasil berhasil tetapi ..... :(


	karena registrynya error, maka kamu bisa ngeload registry kamu yang di 
	save sebelumnya atau jika tidak maka siap siaplah untuk install ulang 
	atau minimal repair windows :( 


	## langkah langkah load registry ##

	dari desktop tekan Ctrl + Alt + Del , terus new task, ketik regedit
	muncul registry editor, file >import > [registrylama].reg anda ,
	setelah itu restart, dari windows task manager, Shut Down > Restart.

	semoga windows anda sembuh kembali , tetapi tetap rentan thd RPC sploit


	
	hahahahha, gak asyik banget, so jangan coba coba degh :(	
   
    ### jika teman teman ada yang pernah mencoba dan mau berbagi pengalaman'
    maka aku akan sangat senang untuk berbagi cerita :D ###################

    3. UPDAte patch ke micrososft,
    mungkin cara inilah yang paling baik dan aman untuk ditempuh :D apalagi
    menginggat microsoft sangat pelit dengan sourcenya sehingga cara inilah
    yang paling baik dan aman, tetapi tunggulah sampai beberapa lama, dan 
    kabarnya lagi bahwa walaupun dah di update OS anda tetap rentan, so
    whatever lah , maybe next kita bahas....


rangkuman hasil ujicoba:

	meminimalisasi service jaringan dapat dilakukan dengan :
 	- mendisable service yang tidak di gunakan/ tidak perlu
 	- mendisable NetBIOS yang memanfaatkan TCP/IP dan CIFS yang memanfaatkan TCP
 	- meminimalisasi service RPC 


	Services yang dapat didisable adalah:
	 
	 Windows XP:
 	 - messenger, policyagent, schedule, ssdpsrv, w32time


	### untuk memudahkan gunakan tools tools sbb: ####

	- dcomcfng
	- rpcdump
	- services.msc


sumber :  + help pada windows
	  + artikel tentang registry 
          + artikel meminimalisasi services pada windows
          + try and error metode 

kesimpulan : kesulitan yang sangat besar karena tidak ada akses terhadap source;
	     boro-boro mau modifikasi, ngeliat aja buat mahamin algoritmanya aja
	     gak bisa, otomatis ini sangat menghambat riset yang dilakukan :P , 
             alhasil try and error adalah metode yang pantas!

	     hasil ujicoba adalah bahwa mem-patch versi windwos anda adalah cara
	     termudah, terbaik dan ter-aman yang dapat dilakukan oleh user :p


penutup 
	semoga artikel ini bermanfaat dan dapat menambah wawasan aku khususnya
	dan teman teman pada umumnya


*greetz to: 
	[echostaff a.k.a moby, the_day, comex ,z3r0byt3], echo memberz,
        anak anak newbie_hacker,$peci@l temen2 seperjuangan 
	
	kirimkan kritik && saran ke y3dips[at]echo.or.id

	*/0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004 



Comments