|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。) Q$ e( c3 E- h4 w- z
8 F# M9 J( Q) u+ M; [
现在分享出来。。。( ^' z7 I3 X$ [# D( [/ U
, v- B2 n9 B3 L! h+ l: a: J
工具:myccl.OD f0 K5 Y9 T5 m% H" U$ {
}" q5 ^% t. ]+ S [免杀必备的工具哦 " `8 Y. X- Z. V
9 A& a) U; b$ g4 P2 s用myccl分块文件。。。尽量少点 比如 10块
' |! ~) n0 q" Z4 {+ M' _) {; j7 t6 B& Z
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
" j7 w' Y* H" x
4 `! S# B3 F& ]' X) L( L好了,这个时候会提示文件无法运行的窗口,
$ M1 y# v7 i _
+ ]: g' }* c; s3 v我们不管它,直接确定。。
% Q- ~7 c( M. E9 K. v6 D2 t* N. ?8 [1 Y& u' w- b9 c
如果一个文件拖入OD 杀软提示了主动防御的提示+ J3 S. I0 j5 m: ~: ~
. y1 e5 I5 x8 w+ ^4 B7 p+ v
我们记下这个文件,删除它,1 S0 h: R( [) I$ a7 _8 ~! B
2 V9 c0 P. S1 D. N7 C; @
接着拖入其他文件。。一一确定。。
, v$ ?8 e% q, p' R1 D- V* a( y' w U3 w. M: q8 J4 U8 C5 e) @. ~
知道没有提示,我们手动删除掉被提示的文件。。。, N2 c% J7 E0 z: G0 v6 `% i' H
4 `4 ]% M& r# Q! C, b! q接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
+ W* C5 D& ], L! w R" m5 Y* [" S: h' \8 G Q$ p$ N
接着二次处理,重复定位 直到文件长度为2的时候; `8 v" R8 B! V( ~
+ g: O7 e" C9 H& ~3 ~" @' C1 H+ p9 n
我们久确定了我们木马的主动防御特征码。5 M' g2 E0 c! }, J6 {& b! D3 Q
5 q3 M- W2 M: h# e" T注意,每个杀软的对不同的木马的特征码是不一样的
+ M7 X+ y7 y0 g2 S9 @5 E u1 [6 X- h( n1 M; B9 B( v( x" S
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
