返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
% L  N' E5 G. P) S6 N4 S# O  \) F6 a( Y: e$ m
现在分享出来。。。
, q# ?1 i% a: Q8 A& p$ o7 l; J3 j- b' k4 m2 U
工具:myccl.OD
& r' h) ^9 R/ D, k) M& N1 [6 ^3 i# W0 O8 {$ Z# Y
免杀必备的工具哦
4 c  O$ U. l- X1 u& y  L. ]; f9 j/ T! O' k# x  l
用myccl分块文件。。。尽量少点   比如  10块& n7 @) |( l2 B& t$ ]7 E" O3 a

" @7 \* Z* b3 o+ K6 F打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)# v) c0 z; P+ \& C9 i

% ~$ e9 r; t/ m好了,这个时候会提示文件无法运行的窗口,
3 Z+ H! h$ }9 l4 n( ?
1 @2 `1 y. W. ~; h我们不管它,直接确定。。1 O' R$ \4 j+ N
' i& j4 O1 s% T0 M" }0 a
如果一个文件拖入OD 杀软提示了主动防御的提示
6 l- D5 z" M2 h' |! `3 b7 A7 U
4 O: o5 k# H; @9 |9 O) b我们记下这个文件,删除它,
" n$ u$ ^8 t) N* l
6 w5 H. {  g" Z' U# u+ R3 q接着拖入其他文件。。一一确定。。
* v: s2 \$ D$ s) W  ^5 N; F( x5 w6 u/ d6 e4 `5 L$ b. i
知道没有提示,我们手动删除掉被提示的文件。。。
' W  Z1 s2 K& F9 }) e
) ~, C5 y/ |0 ]" ?, _6 v5 S" z( p接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件& P5 O: q7 T' _) c) i% ~( Q

) R$ R. a3 `: M" ]" n接着二次处理,重复定位   直到文件长度为2的时候
; \( @) A& v! b/ B' M& f
# A& H* z4 Y5 V% E6 I8 r0 X6 r我们久确定了我们木马的主动防御特征码。( X) ~* \# u- }
) u2 C+ r" Q( Z
注意,每个杀软的对不同的木马的特征码是不一样的
- |+ N* ~8 x, T% L" c
4 u% m! N; b" Z- v( t( J我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  + [2 X. [9 D5 |' c; e5 _/ j7 R9 ^
   本人是免杀菜鸟。。。。; z1 t, O4 u# `- o( X
) p8 C7 b& Q' L/ U& c8 g8 n! d
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表