|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
2 k8 u( p, T/ R+ h; O6 I" U
( A, q# F4 k& i+ C3 h现在分享出来。。。
+ |9 H9 t% o% _! r" q) Q) z8 O* H! L! V" T& K$ l- T7 O% T8 }
工具:myccl.OD+ H; H2 t) U. H8 A, }
, S3 [+ O- m+ f2 u+ e% p免杀必备的工具哦
! t8 ^4 r' g1 d: {" s/ I& | p# \) x0 n
用myccl分块文件。。。尽量少点 比如 10块
' d- U" C5 d0 d+ t4 H# @. |1 P, l/ D
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
6 w2 |/ S4 ~% n8 ^& s3 r
8 x3 Z* L8 e4 v: ^. j# d好了,这个时候会提示文件无法运行的窗口,- O# h: k+ a3 P# ^6 f
8 }! W& i2 _, q5 B1 @& m8 K% v
我们不管它,直接确定。。( O4 U0 q2 e; L' b$ D1 a5 z/ f) P) U
6 H& r) W# u, ~: ~/ y) j) K" X如果一个文件拖入OD 杀软提示了主动防御的提示
* y7 N- i1 r7 R$ i* h. f* I
0 u8 N! B7 B- m2 A5 G我们记下这个文件,删除它,) j; H! z7 Y# o- H' n$ |
3 S% M/ O/ [ r9 U0 P- h/ O) ]7 {, ~接着拖入其他文件。。一一确定。。0 K9 L% k* ^+ A4 y1 a, \
! Q2 {* L" L( w9 k. D0 s知道没有提示,我们手动删除掉被提示的文件。。。
- n/ U' c; T/ i1 s8 S& j9 ]% [! N1 Z( G; V
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
: A, r& R" w" m6 T9 X" X5 S, T) m. Q( n& T# H- ^3 i
接着二次处理,重复定位 直到文件长度为2的时候- z" a/ I! E* J
) m* q+ G, d. n; I) r1 K
我们久确定了我们木马的主动防御特征码。
9 V- B+ Y$ D" ^6 R4 V9 z/ k# f0 o. G$ L! B. q* \6 ~% w0 b( A
注意,每个杀软的对不同的木马的特征码是不一样的 S% r4 e6 ~2 ^! r
% r2 z( N3 _/ [: D- t: |3 @
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
