标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
% M7 b1 i8 z; ]9 U& m0 _
% ~) S# a* F/ _# E" o# I s
现在分享出来。。。
+ U/ j/ H* o" B% B# C
0 o5 H2 u3 c* x# i- m4 i( [/ C" \
工具:myccl.OD
7 d! u. r" A6 x3 r- e
- m! a2 V: P' h) R! K
免杀必备的工具哦
! L) `' G, U' X5 G$ [% n9 D
- C0 B/ ]5 C3 H* U: n" X' t
用myccl分块文件。。。尽量少点 比如 10块
7 `! Q' a6 ?- A8 ?" x) ~0 [" J* {
& U: h" d' ^" A9 t8 e( Q5 y1 ^
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
; W$ g" s& _) Z6 K# {& v
1 G$ _0 e# r: j3 ]# P4 k
好了,这个时候会提示文件无法运行的窗口,
6 j. f& W) S* i' D, L: @7 ]5 S
3 B2 E1 h, f& Y( W' {1 D9 N" F8 ~
我们不管它,直接确定。。
3 C& K z% }( r$ c; U% R
$ B& q2 d: \! C
如果一个文件拖入OD 杀软提示了主动防御的提示
* i, H. ]( F2 U, r/ Q2 i3 v! ~( |
6 F* w0 |3 q, ~! t) T7 W8 @
我们记下这个文件,删除它,
. S4 ?5 h" `/ v1 u# J) U4 ]
; d# h3 s3 g* Y5 Q6 Y# p7 |
接着拖入其他文件。。一一确定。。
* a- x6 h" v {# v& |. _' W" k5 f
8 E* S% l! g6 v
知道没有提示,我们手动删除掉被提示的文件。。。
7 {# W1 b2 o3 L5 K7 Q: W4 K
' y2 ?; j: ?3 x3 E, l0 h; A3 Y
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
) S0 q$ `4 Q$ s6 Q* {0 z
4 T0 q% B; `2 _( ~$ g& A. t" j& I
接着二次处理,重复定位 直到文件长度为2的时候
; k1 h. h; F1 g; B
' _% d. e/ B/ r1 n) l% j
我们久确定了我们木马的主动防御特征码。
5 d# {: Q0 Y1 T9 D6 H
# h0 J, {1 Y8 }5 O8 Y
注意,每个杀软的对不同的木马的特征码是不一样的
0 M m6 b" G7 j; ]2 D) A- m
+ E/ c$ [) \* ]
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
5 R$ m- i5 S1 e! g8 Z
本人是免杀菜鸟。。。。
* z2 s, W; j' ^
: ]2 u7 |) I* v, `: \5 z) `
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
