|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
5 l& O) H4 o5 l1 g$ [4 J* I# u& S; K% v7 i6 }( S; Z% k$ Q
现在分享出来。。。2 `7 B* e/ g- O* k0 l" ?. x1 m
( C3 v7 H4 R Q7 c( s1 l4 T @
工具:myccl.OD
4 M/ e5 n/ p- d; E% A$ y- X
) y! k7 b9 R( |& |免杀必备的工具哦
8 z! ^' J8 a7 E9 F: w
; ]3 g0 i; t @7 k用myccl分块文件。。。尽量少点 比如 10块
4 I- \! k$ X+ Z' V8 d" A4 \6 X/ N" s
! @$ ^% P7 {& u) r. E% f. i打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
" x' \( z4 L- C# w% R# ?
8 ^8 Z+ W$ T+ M1 Z$ a1 {1 Z! e好了,这个时候会提示文件无法运行的窗口,5 ~0 K, t7 j3 Z7 H. b$ H X! u7 x
X( C9 f" A- N3 C1 r: X* k, U
我们不管它,直接确定。。
0 K( F, z1 z" g, t G
/ V! Y; F+ g* @" Z如果一个文件拖入OD 杀软提示了主动防御的提示
) V, J$ I4 n* Z% i/ K2 `& s9 Y$ X8 F
我们记下这个文件,删除它,
8 Y7 R, V ]. K+ }5 ?# o: ]8 P0 @# [
接着拖入其他文件。。一一确定。。
$ Y$ @+ }8 P( h0 f) t
" n' G* w4 X2 I- @8 Q+ T# w知道没有提示,我们手动删除掉被提示的文件。。。& T0 M. `' Q: p& B2 \- D! }8 v
( p, x T5 @& p* s接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件5 Z$ ]; G/ t* a! a2 z( ~
, z1 G. M. D8 M/ L* P接着二次处理,重复定位 直到文件长度为2的时候
+ I \* _4 r7 U/ P4 m; Q1 n' b) s% z$ \
我们久确定了我们木马的主动防御特征码。
8 {- q6 o; }9 K2 i4 u3 ~# z d& X* |) D
注意,每个杀软的对不同的木马的特征码是不一样的
; a$ L! u* T; H# _- |/ W) R) P: C2 v) a+ ^/ ^ ~' k
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
