标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
- _; j( ^5 G/ A8 j
$ I. B& J0 L0 q9 R }" d3 S
现在分享出来。。。
9 U* t- k" S6 X
: T. T! d2 M0 k/ V8 f
工具:myccl.OD
/ U+ h0 Y/ _5 |9 D0 S* K, Y4 c
* t! q. E# @ h9 R" Z
免杀必备的工具哦
8 L3 n1 E0 m& v7 ^' |
h0 w( q/ D$ x4 F5 s2 t1 T7 k
用myccl分块文件。。。尽量少点 比如 10块
y: T* I, l, j- ~
6 f9 `) b9 I* N9 p9 w& v
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
, ^4 q% x) S- x5 z5 d8 t' L
" x: S) R0 ?- s5 d) {4 L
好了,这个时候会提示文件无法运行的窗口,
) a5 r$ z: z% S7 B+ ~" ~
b( U! R! ]7 ]+ D; B( ~9 H* i
我们不管它,直接确定。。
' a7 F0 i; H5 U8 _9 A r
: s( Z* D1 d; _8 a' @* O' v5 S( p
如果一个文件拖入OD 杀软提示了主动防御的提示
) K) ?. ?- s/ W; j; _9 ?& x
0 J# t( [& f4 |! v
我们记下这个文件,删除它,
' ^: v$ J( P! n( \5 e, g9 f ], _" a
. Z1 j: f9 W) b* q/ D4 i* m; ~
接着拖入其他文件。。一一确定。。
: N9 Y U, U( y& T' O( B: ?8 P" r; U
% q! p1 F( B9 d* \/ ]$ n
知道没有提示,我们手动删除掉被提示的文件。。。
' L% ~9 B% C! t4 N% X) k3 M, k
1 I/ ]- b& a+ c& r8 f- `6 |& C
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
; w6 A" y& Y# i3 J! o, Y4 v
v2 {- y9 W: b& q7 X5 Y
接着二次处理,重复定位 直到文件长度为2的时候
/ f4 z$ |0 H. @: f4 n0 y: q
( v+ B* @. v) _9 Z+ y h
我们久确定了我们木马的主动防御特征码。
0 q, o) _- y7 y, @
# {5 `& e. b* M! Z* H3 |
注意,每个杀软的对不同的木马的特征码是不一样的
2 ]$ C) t& j* K- t F
" Y1 H2 q/ ?3 k6 A! M
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
6 P8 V0 {! d! c/ Q; g
本人是免杀菜鸟。。。。
) k7 A3 V1 T4 S
) u, e- t1 U+ ^; U; c% x& L/ U* z
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
