返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。% _, b1 ~, b; i- a8 V& k

$ e; U# o% y% T" G  u现在分享出来。。。
9 `  y; [* Z, G% }! {2 n' N$ \3 n8 h1 v5 Z& h) Z
工具:myccl.OD$ I0 }) r' M) c, {" F

) ?7 @1 c9 s/ |. S  G& ]5 q免杀必备的工具哦 & _% b5 M/ ?0 P) F) C$ ^

: H5 r5 o: u; j5 L  K用myccl分块文件。。。尽量少点   比如  10块8 p0 l1 K/ H# j) |
/ ^8 `) k9 h! t# L& c$ m
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)' h2 P7 Z' d5 ?' {- h9 Z# I
' O* f* S( n7 \
好了,这个时候会提示文件无法运行的窗口,
* o8 b! \& ]7 c6 N4 c! s$ N& l, C0 D# {3 Y1 C
我们不管它,直接确定。。+ Q& F. y- K% i  _" K" h

* q! L, W8 k; p8 L如果一个文件拖入OD 杀软提示了主动防御的提示# N# ^5 j* r  r( `4 M

6 i7 R6 `# T/ l4 _& r我们记下这个文件,删除它,, g* @, I. ?7 L7 }

0 j5 Y- a1 Z0 m' A9 d接着拖入其他文件。。一一确定。。+ g2 P& X# P: M8 F* h

! [3 A$ s  x: o: o$ A知道没有提示,我们手动删除掉被提示的文件。。。
, W. F1 v  G5 e, c4 q9 _
; G5 [5 F' b* v; x" S# r  P接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
" F! Q, d# j/ W4 v
+ B5 @! v- [: `; u  A. j' n- V3 J4 b) l  K接着二次处理,重复定位   直到文件长度为2的时候
" P+ S% r1 U; t. x' t& b$ @! ^
' A, z( s" Q3 X- U0 I9 e$ j) b我们久确定了我们木马的主动防御特征码。
1 s3 e) }, |4 o$ f) ]3 r0 g% `. X" v2 F# }
注意,每个杀软的对不同的木马的特征码是不一样的& ?- d9 X% e2 _5 g9 }1 F/ _/ _+ B1 j

0 C. l9 c) x7 }6 I  s我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  7 v2 g  H6 j& Z8 k% F
   本人是免杀菜鸟。。。。
$ i! @+ I4 W: t1 C( v2 @8 m7 _1 V- ^, V
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表