|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
& S( I2 M% }, N2 A! `2 A
' S" W1 }! A- c* p( b9 s现在分享出来。。。6 M/ e& {$ e+ p1 E, |4 i
5 X) M2 R, Y4 s8 ~" N, ~6 {工具:myccl.OD
5 x) Y3 m9 z1 _$ I7 o8 Q& [2 k9 A- d4 w8 b9 L0 A
免杀必备的工具哦 & h! D2 m" {9 m6 ~
6 p4 ?! z- v" ]( M, M4 S0 G6 Y用myccl分块文件。。。尽量少点 比如 10块
8 s! o* X+ o; A8 P+ O E7 O" F/ p( }
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
2 L- O+ ?7 V# i( p i8 L" ^2 `) B' ?; }$ G/ y U( z. M
好了,这个时候会提示文件无法运行的窗口,
- h2 o) d% W9 O- G! \& n8 J+ d# Z, w; P3 I* \ t. E/ ?
我们不管它,直接确定。。
3 s# h% v9 s5 Y- ]3 @2 D/ z
1 ~# J9 w! i' a4 B% R8 X如果一个文件拖入OD 杀软提示了主动防御的提示' `, f% c2 }5 A. D0 `
5 W" V6 [4 ?) h8 f
我们记下这个文件,删除它," K( e2 f; f+ L R
! Y5 B- l2 P4 i; S |接着拖入其他文件。。一一确定。。" d, W. S0 V; s2 E% ]- g4 d
: ~, D% e2 e; f/ L" l, O知道没有提示,我们手动删除掉被提示的文件。。。( R0 K# a6 Z ^0 G( Y+ Q
' S# G! {' l# d/ h V
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件0 t |, t1 c4 g3 I
, j" @3 i$ ^* C8 n T( J! ?
接着二次处理,重复定位 直到文件长度为2的时候8 x# P; H: L+ ?* I( ? _& U
1 G+ n: p& Z, O9 X我们久确定了我们木马的主动防御特征码。
! s% k: r% l. I% M0 |6 A/ V, p' e' V
* G, K/ A" m ^ Q9 @$ o" V/ V注意,每个杀软的对不同的木马的特征码是不一样的$ e% t5 g- M" z# N* m" H! S
. Z& L" K2 h3 l9 C9 t
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
