|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
$ e" S! Y Z, j# o' M
3 w ~& R r0 \% a现在分享出来。。。+ V, G; R$ \$ O& G2 V/ U$ E& c. R
' p: H, s1 V" m# K& j( S) \6 j2 S工具:myccl.OD
! W9 \) G! M! \) B: |8 y0 _6 f+ Q; |$ F0 T, |5 W2 `: G
免杀必备的工具哦 & |% J0 f8 z# N
! Q9 G, G* t- E$ e& b, D. {( G用myccl分块文件。。。尽量少点 比如 10块
* J8 t2 Q1 h3 C; j* w, l& Y: i I0 `6 ?
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)) l4 I9 j% ?% x3 u% {- w2 _
- V3 X! p1 C# l好了,这个时候会提示文件无法运行的窗口,
: I& V+ y7 w2 o# `* Y/ A, Q/ m- G5 i2 O& ^/ ^" `" D
我们不管它,直接确定。。& d; Y5 D- R- s2 v" p" N% q
g1 f: b, w1 x. ~$ H, E! |9 v如果一个文件拖入OD 杀软提示了主动防御的提示 |# ? e7 w% q, w# O# B5 i& J6 O# p5 D
3 n! G7 Z! N* H% P0 C
我们记下这个文件,删除它,2 G1 p9 H2 x3 {/ q* |
6 u! ?- w% i6 N" D/ V. d. p' \; n接着拖入其他文件。。一一确定。。
" b5 D8 Q2 }& ~* L: r/ s/ z# I
4 U% i9 {8 h9 v- X6 O9 B$ T知道没有提示,我们手动删除掉被提示的文件。。。2 B% \" m* _6 y1 t& h( b
, y; y' W- ?4 o2 z0 m接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
' k$ E: g7 P2 T x# C/ a
) S# R- E8 ~, u' r/ N3 S* R$ ], h接着二次处理,重复定位 直到文件长度为2的时候1 _* e9 w0 e6 X, }: l* E
, O: D* }2 e# _4 D; d* i$ J
我们久确定了我们木马的主动防御特征码。; E- h( W; ~& W, w4 t4 x
7 M: M1 k+ @8 X2 F注意,每个杀软的对不同的木马的特征码是不一样的% i) N4 b& D$ q; y* p* W, Y* l
6 T# Q- G1 E+ y% _/ d
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
