Run, Apa yang terjadi setelah itu…!!!


Jalankan Saya!

Start merupakan operasi paling fundamental yang dilakukan Windows, tetapi apakah Anda tahu apa yang terjadi di belakang pada waktu program dijalankan?

Coba pikirkan pertanyaan berikut. Apakah PC Anda berjalan lambat atau kekurangan RAM? Apakah Anda melihat banyak aktivitas disk pada waktu tidak ada orang yang menggunakan sistem? Pernahkan mengira bahwa Anda telah terkena virus? Untuk menjawab pertanyaan tersebut, Anda perlu mengetahui apa yang berjalan pada PC Anda, tetapi itu tidaklah mudah.

Anda mungkin mulai dengan melihat icon-icon pada Taskbar, misalnya, tetapi mereka tidak bisa berkata banyak. Aplikasi bisa memilih untuk tidak dimasukkan ke situ. Memanggil Task Manager? Itu lebih baik, tetapi masih membingungkan. Tab Application, misalnya, tidak benar-benar menampilkan aplikasi. Tab Processes membawa Anda lebih dekat terhadap kebenaran, tetapi program yang Anda lihat di situ juga tidak “benar-benar berjalan.” Untuk memahami semuanya, kita perlu melihat dari awal sekali: apa yang terjadi pada waktu Anda mengklik ganda file executable?

Arti “Run” Sebenarnya
Mudah untuk dilupakan, tetapi Windows sebenarnya mendukung beberapa jenis file executable. Setelah Anda mengklik ganda pada sesuatu, yang menjadi tantangan adalah mencari tahu jenis file tersebut.

Untuk mengetahuinya, Windows membuka dan membaca beberapa byte pertama. Dalam istilah programming disebut “Header”, yang berisi info lebih banyak tentang file. Sebagai contoh, file EXE dapat dikenali dari dua karakter pertama yang selalu MZ. Setelah jenis file dikenali, Windows memilih siapa yang menjalankannya. Program 32-bit ditangani oleh kernel; DOS atau software 16-bit (Windows 3.1) dijalankan oleh komponen Windows bernama NTVDM.EXE (NT Virtual DOS Machine); file batch (.bat atau .cmd) dikirim ke CMD.EXE.

Memeriksa bagian dalam file bisa menimbulkan masalah keamanan yang cukup riskan, jadi ini berarti Anda tidak dapat mengandalkan extension file. Sebagai contoh, “Trojan.exe” bisa diganti namanya sebagai “Harmless.bat”; Anda mungkin menganggapnya sebagai file batch biasa, tetapi pada waktu mengklikganda akan menjalankan program sebagai executable. Seperti biasa, jangan percaya siapapun dan apapun.

Program yang Menyamar
Setelah Windows mengetahui ia bekerja dengan program Windows 32-bit, ia siap untuk mulai menjalankannya. Namun bagaimana? Microsoft mempunyai metode “back door” di mana dengannya aplikasi dapat dijalankan dengan beragam cara, misalnya menggunakan proses pengaturan memory yang lebih sederhana, atau me-load debugger pada waktu aplikasi dijalankan.

Pada situasi biasa Anda tidak tahu tentang ini, kecuali karena ini juga memberikan peluang bagi Trojan untuk mengacau. Berikut adalah bagaimana Anda menggunakannya untuk bersenang-senang dengan anggota keluarga yang lain atau teman. Jalankan Registry Editor, dan buka key HKEY_LOCAL_MACHINE\SOFTWAR E \ Microsoft\ WindowsNT\CurrentVersion\Image File Extension Options. Buatlah subkey bernama iexplore.exe. Klik key Anda yang baru, dan dari menu Edit, pilih New, dan kemudian klik String Value. Beri nama Debugger. Klik ganda string dan ketik calc.exe. Tutup semua jendela Internet Explorer, kemudian restart browser. Anda akan melihat Calculator. Menyenangkan, bukan? Sekarang hapus key registry yang baru saja Anda buat (pastikan Anda tidak mengapa-apakan yag lain). Ingatlah ini jika Anda mendapatkan program yang berbeda pada waktu menjalankan suatu program di kemudian hari.

Sebagai Image
Dengan asumsi bahwa Anda tidak mempunyai program yang menyamar, Windows XP akan mulai membuat “proses” untuk file executable. Ini meliputi pengalokasian sejumlah ruang memory kepada program itu sendiri dan menjalankan file sebagai “image”, memberikan sebagian kecil RAM untuk bekerja, dan membuat sejumlah tabel untuk membantu pengaturan program pada waktu berjalan.

Bahkan proses yang sudah komplit pun tidak akan melakukan apa-apa di dalamnya. Dalam istilah Windows, proses hanyalah sebagian kecil potongan memory dan beberapa data. Software hanya dapat dijalankan dalam Windows dengan “thread”, jadi thread awal dibuat dan dialokasikan ke proses.

Bagian operating system yang bertanggung jawab untuk semua ini adalah Kernel32.dll, dan tugasnya sekarang sudah selesai. Executable yang hampir siap tersebut diberikan kepada Client Server Runtime Process (csrss.exe), yang melakukan sedikit kerja tambahan untuk memastikan supaya file dapat berkomunikasi dengan sisa Windows lainnya.

Sebagai langkah terakhir, program diinisialisasi, semua DLL yang dibutuhkan di-load, dan thread awal mulai menjalankan aplikasi Anda. Pada akhirnya kita sampai di situ, dan dengan tambahan pengetahuan ini kita dapat menginterpretasikan ulang apa yang ditampilkan pada Task Manager Windows XP.

Tutup semua yang berjalan pada PC Anda, dan sisakan satu jendela Explorer. Sekarang tekan Ctrl+Alt+Del untuk membuka Task Manager, dan klik tab Applications. Seperti yang akan Anda lihat, Task Manager menampilkan icon Explorer dengan caption bervariasi bergantung kepada halaman web yang sedang Anda lihat. Selain nama, tab ini sama sekali tidak menampilkan aplikasi. Anda hanya akan mendapatkan daftar jendela paling atas yang sedang dibuka, dan namanya akan bervariasi bergantung kepada caption jendela.

Siapa yang Bertanggung Jawab?
Jadi, bagaimana Anda mengetahui siapa yang bertanggung jawab atas suatu jendela? Klik kanan, pilih Go to process dan Task Manager akan menampilkan detail Explorer.exe. Ini lebih membantu, walaupun sekarang kita tahu bahwa proses tersebut juga tidak menjalankan apa-apa. Untuk mengetahui lebih banyak apa yang sebenarnya sedang terjadi, klik View, pilih Columns, beri tanda centang Thread Count dan kemudian klik OK. Anda akan menemukan ini lebih mendekati kebenaran.

Meskipun semua program hanya berjalan dengan satu thread, tidak ada yang bisa menghentikan mereka untuk membuatnya lagi, dan Anda akan menemukan beberapa (khususnya “System”) bisa mempunyai 80 atau lebih. Ini bisa jadi tanda yang bagus. Sementara satu thread melakukan tugas yang panjang, yang lain dapat menangani user interface, sehingga sistem bisa tetap responsif. Hal lain yang mungkin Anda lihat pada Task Manager adalah adanya beberapa svchost.exe yang sedang berjalan, kebanyakan dengan thread count yang tinggi. Apa yang terjadi di situ? Baca artikel berikutnya, di mana akan kita ketahui bagaimana service Windows bekerja.

JALANKAN DI SINI
Sekilas tab Process pada Task Manager akan memberitahukan bahwa banyak software yang sedang berjalan pada PC Anda. Beberapa di antaranya mungkin menginstalasi dirinya sendiri supaya di-load pada waktu Windows berjalan, tanpa lebih dulu bertanya kepada Anda. Terganggu? Mempelajari di mana startup tersebut berada bisa jadi membantu dalam mengidentifikasi dan menghilangkan mereka.

Folder Startup sudah pasti menjadi calon, itulah sebabnya kebanyakan progam bersembunyi di tempat lain. Jalankan Registry Editor, buka HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, dan cari key seperti Run, RunOnce, RunOnceEx dan RunServices. Anda akan menemukan beragam program startup, tetapi ingat bahwa Anda mungkin mempunyai key yang sama pada HKEY_CURRENT_USER. Beberapa software dijalankan melalui file Win.ini. Buka file tersebut dan cari baris run= dan load. Yang lainnya dijalankan dari file System.ini. Cari baris shell= yang menunjuk ke Explorer.exe (shell=Explorer.exe), tanpa nama tambahan (shell=Explorer.exe Trojan.exe).

Cara yang sama juga kadang-kadang digunakan pada registry, di mana program menambahkan path dan nama file-nya sesudah “Explorer.exe”. Dan itu terus berlanjut, dengan banyak pilihan tempat bagi kode untuk bersembunyi. Tidak bisa mengingat mereka semua? Jangan khawatir karena itu tidak perlu. DiamondCS Autostart Viewer merupakan tool gratis yang menampilkan semua program yang berjalan otomatis, dan memungkinkan Anda untuk mengubah atau menghapus mereka sesuka hati.

LEBIH LANJUT
http://www.annoyances.org/exec/forum/winxp/1066973915

Write By : Gunung Sarjono

Heeeheheheeee…….lagi2 artikel yang saya posting disini miliknya gunung sarjono, mungkin sebagian orang melihat, artikel yang saya posting bukan milik saya dan mengira saya ini malas dan tidak mampu membuat artikel, heheheeeee……sebenarnya seh bukan itu, artikel yang saya posting disini saya anggap ada banyak orang yang mau mengetahuinya jadi khan ada baiknya ketika saya berusaha untuk memposting ulang bagi mereka2 yang sama sekali tidak tahu, dan ketika melakukan search di google dengan kata2 kunci seperti diatas, mungkin mereka akan mendapatkan web ini dan kemudian membacanya, jadi intinya seh, ngeposting ulang artikel orang disini bukan karena saya malas atau tidak mampu membuat artikel, tapi karena semua artikel yang diposting ulang disini mengandung manfaat yang besar jika diketahui banyak orang…

Thankz….

Silahkan Tinggalkan Komentar Anda... :)

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s