|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
. b* [3 r6 _1 Y& a, l; z* `7 z" n2 d5 }8 _* S1 S4 b
现在分享出来。。。
[$ | I% `, s" n% ^1 H
. T/ A( b( Y ]4 P2 Z. l工具:myccl.OD0 [: A% L+ R3 ~ I+ G, [ s' k" h: Q* V
$ X! B' A0 [. v* K: Y免杀必备的工具哦 . Z0 G4 w5 T# l9 Z
4 B/ k% C7 [( W) f) K用myccl分块文件。。。尽量少点 比如 10块+ ?- ?/ ^, l* j( u% Z1 A& u
% {) c3 p, X4 ], A7 a2 |打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
- B1 N- i/ `: y R; g4 e; c) k6 D& q \% J4 Y# L+ d/ g# R
好了,这个时候会提示文件无法运行的窗口," Q6 n; {: F( k; U* Q0 R9 g, _
n& m% }3 g4 ?我们不管它,直接确定。。& y4 F5 i5 N4 Y1 B/ y. B% o
: L# X4 r" s3 q& f, y- b- i
如果一个文件拖入OD 杀软提示了主动防御的提示* v$ d. n9 p$ z9 a
]% z2 }6 l$ B3 e; |1 E' x7 D
我们记下这个文件,删除它,9 T A* f1 o( R" H' @! v
% ?0 D9 `, U* N* [6 G. l/ o
接着拖入其他文件。。一一确定。。
; X% }" }" B( {! b2 Y! j! b, Y& D; }% P7 n8 k9 s9 q8 y
知道没有提示,我们手动删除掉被提示的文件。。。: n2 \, h9 o9 L- z0 k+ u P
6 o9 N* |3 j$ `6 F U, X6 V接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件, d/ J% o! C a8 G
6 q- e( M3 }1 A( R6 a s/ P: p4 I接着二次处理,重复定位 直到文件长度为2的时候4 D# K! G5 d: M' y6 A
. v( ?# k2 z. z T$ |1 q我们久确定了我们木马的主动防御特征码。
0 B6 S7 A/ g5 f6 p! {$ w; A
0 V- N& s* _9 W9 q, l4 g注意,每个杀软的对不同的木马的特征码是不一样的
' p+ D! c1 [$ F* c3 W
: _$ M0 R5 ]. b我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
