返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
% H9 _# A# |5 x# W1 F. A/ q6 o  K" A% n9 u
现在分享出来。。。
5 |& R4 g0 m% Y# s
( b/ x3 t; g* F+ s0 s工具:myccl.OD' V1 X* d/ i; {; S
$ \6 f3 N/ N" P: ^- M
免杀必备的工具哦
) n: c9 ~7 i: T# J" G$ C) O# r4 Z' S' }; }6 M: L& D
用myccl分块文件。。。尽量少点   比如  10块
& t" |9 I0 I( z8 G9 @" ?1 Y/ K. T2 R& P8 B) r* @) M
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)9 q* o$ P8 L& d# O

5 ^" J* I+ W5 A6 U& K8 P好了,这个时候会提示文件无法运行的窗口,( x0 l' P, f* y, D' g  _) k2 ~$ [# _
4 D& S6 p3 u+ c$ S. p
我们不管它,直接确定。。
) h) h# f7 O3 P1 F9 T
3 H( C5 n) U# Y4 o3 a) m如果一个文件拖入OD 杀软提示了主动防御的提示1 r4 ^: I7 F) E+ X+ F2 r9 B8 [8 K; [
, M7 \% B2 @1 t! W/ M8 M
我们记下这个文件,删除它,
6 Q4 i" L# o9 c; Q6 a
* b0 n) O# b$ m& V$ ~5 Q6 K0 Z  s接着拖入其他文件。。一一确定。。
( L1 z$ {$ \8 c4 u9 q" m  w% Y, @2 F" m$ u3 x1 X
知道没有提示,我们手动删除掉被提示的文件。。。
" I3 r8 d3 z. Q( X7 Z8 K0 ^" l$ Y! U  A
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件# c! r- Z% Y& [, `: W! ?. N
5 \) d9 L# h6 w
接着二次处理,重复定位   直到文件长度为2的时候
* a; H3 B. F; U+ K( T
6 U( p7 ?0 h8 `- I9 e/ K' y0 I# |我们久确定了我们木马的主动防御特征码。. n3 u5 {+ W; G2 O) B3 F' e
/ [( w/ b2 S, i% U9 ~+ w. p& c
注意,每个杀软的对不同的木马的特征码是不一样的9 M0 Z" R  g. ?1 K/ M! P3 L

5 d" Z! }: J8 Z6 ]" N我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  
- N# j' E1 J' V! D* d   本人是免杀菜鸟。。。。+ X% ~3 [; N, s" r  l" {) |! u, Q
( c4 c8 h9 F0 ~8 W( b$ ?4 D9 D: {! A% D
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表