返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
& S( I2 M% }, N2 A! `2 A
' S" W1 }! A- c* p( b9 s现在分享出来。。。6 M/ e& {$ e+ p1 E, |4 i

5 X) M2 R, Y4 s8 ~" N, ~6 {工具:myccl.OD
5 x) Y3 m9 z1 _$ I7 o8 Q& [2 k9 A- d4 w8 b9 L0 A
免杀必备的工具哦 & h! D2 m" {9 m6 ~

6 p4 ?! z- v" ]( M, M4 S0 G6 Y用myccl分块文件。。。尽量少点   比如  10块
8 s! o* X+ o; A8 P+ O  E7 O" F/ p( }
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
2 L- O+ ?7 V# i( p  i8 L" ^2 `) B' ?; }$ G/ y  U( z. M
好了,这个时候会提示文件无法运行的窗口,
- h2 o) d% W9 O- G! \& n8 J+ d# Z, w; P3 I* \  t. E/ ?
我们不管它,直接确定。。
3 s# h% v9 s5 Y- ]3 @2 D/ z
1 ~# J9 w! i' a4 B% R8 X如果一个文件拖入OD 杀软提示了主动防御的提示' `, f% c2 }5 A. D0 `
5 W" V6 [4 ?) h8 f
我们记下这个文件,删除它," K( e2 f; f+ L  R

! Y5 B- l2 P4 i; S  |接着拖入其他文件。。一一确定。。" d, W. S0 V; s2 E% ]- g4 d

: ~, D% e2 e; f/ L" l, O知道没有提示,我们手动删除掉被提示的文件。。。( R0 K# a6 Z  ^0 G( Y+ Q
' S# G! {' l# d/ h  V
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件0 t  |, t1 c4 g3 I
, j" @3 i$ ^* C8 n  T( J! ?
接着二次处理,重复定位   直到文件长度为2的时候8 x# P; H: L+ ?* I( ?  _& U

1 G+ n: p& Z, O9 X我们久确定了我们木马的主动防御特征码。
! s% k: r% l. I% M0 |6 A/ V, p' e' V
* G, K/ A" m  ^  Q9 @$ o" V/ V注意,每个杀软的对不同的木马的特征码是不一样的$ e% t5 g- M" z# N* m" H! S
. Z& L" K2 h3 l9 C9 t
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  
+ z* o4 {# O2 p& |   本人是免杀菜鸟。。。。
- r  c; h; a/ j8 N) M
) R; L* b# `2 T! T[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表