|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
& N9 @% A& ^3 D0 O2 Q' d1 l, D2 i0 d) h
现在分享出来。。。% x* T5 @8 p0 V$ b& g
* H1 C8 x7 P9 @+ I. D) ^, E: g! g# X工具:myccl.OD' J& |. F4 W! Y1 u! s* r
0 J2 t3 E" l" I& {/ i# d9 V
免杀必备的工具哦
8 ~6 H4 m) F2 X; t: J$ t
- y) `+ m& K# k, S用myccl分块文件。。。尽量少点 比如 10块' a+ ?; y* _% @: @. L! W" N
6 | }! n6 a4 ^打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
: Y1 c) ]9 c3 c# U+ j+ F" P& j' A P3 \! `$ {8 j
好了,这个时候会提示文件无法运行的窗口,
0 y0 l; g/ ]. G, M# J' Q ?5 H8 [; E1 |% O+ K3 |
我们不管它,直接确定。。
+ r" ]3 c$ _6 ^! k4 A5 K+ I, C5 j4 ~+ x; v4 C$ X2 k4 x8 Z" U( B2 |
如果一个文件拖入OD 杀软提示了主动防御的提示9 U/ c5 B# h0 R/ a8 L
* J5 x3 `% C1 i2 m$ m5 y
我们记下这个文件,删除它,4 c6 j: I8 q0 a1 Z5 f
4 e8 Q# ] x+ L0 b7 a; g) o! P. W; ]% j接着拖入其他文件。。一一确定。。( A$ w3 o* Z. C9 G l1 I+ B4 [8 C
3 L/ b! N9 y& e9 U知道没有提示,我们手动删除掉被提示的文件。。。: g% X; i9 p: x; b3 A
7 x" I! i# a$ c( I, X" W接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
* U ^; |$ ?2 Q1 n3 ?" K# ?' d4 P" c0 h! M6 g5 h# K! V
接着二次处理,重复定位 直到文件长度为2的时候# b" ^+ E" W% {9 Z/ R; X q3 @
8 x5 _ G0 M; j, d我们久确定了我们木马的主动防御特征码。
- y% _ F; D& B' |' t, E1 I: R" T
+ C& i. r. q2 E0 Q( x注意,每个杀软的对不同的木马的特征码是不一样的- w8 A: e( V0 K+ T
0 {( p9 W, s( n0 Y! A我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
