标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
6 U- y+ I. i2 z* J- i0 |
; }- E+ y% E& |& {1 G' n# |
现在分享出来。。。
7 K$ q3 G) h9 V. M+ u3 h
! \' O P% e7 ^4 A T( T
工具:myccl.OD
! s) e- z( S# P2 m9 w/ e
y& J4 T; L" r$ f3 j/ k/ e7 Q& W
免杀必备的工具哦
* J" K# Y% W0 |, b6 _) f, b
( Q/ Z& S) C7 ?7 o; r
用myccl分块文件。。。尽量少点 比如 10块
# J( ?" ?, s8 k8 T" m+ e0 g
$ L: X7 I6 ?! `/ y r u
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
; Q, ] d- O+ D( \' t
+ Z' M$ A' q( O" D. T
好了,这个时候会提示文件无法运行的窗口,
+ G1 ^! F2 f& j
+ c' \6 L3 G5 }9 L$ _4 d
我们不管它,直接确定。。
' @+ q/ [) c0 [+ h
- C1 C3 J- J! s7 Z
如果一个文件拖入OD 杀软提示了主动防御的提示
) ~6 e0 l7 M1 ]" K
- ]2 e j A: Z, e" ~: P! a' w5 e
我们记下这个文件,删除它,
8 I( W! M5 K% J/ w
! j9 G' Y+ E6 K; S t
接着拖入其他文件。。一一确定。。
* j2 y! U( j r* q$ F
6 t1 Z2 _1 j' S" g3 X0 s
知道没有提示,我们手动删除掉被提示的文件。。。
J8 d; d u2 u2 k, [
, F' e* t0 |9 V2 K% l$ G
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
. d" d" V7 X# N; d$ |+ v# ?
1 O, b+ ^3 |$ r- c/ C
接着二次处理,重复定位 直到文件长度为2的时候
& w: C0 V' V' I/ d" F( c$ z- e$ g& k
) G6 X8 ]) c) }, O6 y- T$ l
我们久确定了我们木马的主动防御特征码。
0 u8 |6 t$ M0 _9 ?
$ Y, U5 _- ]6 H3 M, _
注意,每个杀软的对不同的木马的特征码是不一样的
X2 {7 R- G* Q, ^$ m
1 K" E$ x# N: Z! P+ X* |3 c
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
% J2 J3 Y1 n t8 c7 f7 A5 s8 v
本人是免杀菜鸟。。。。
# ~7 z0 k- Q6 I8 i4 e. _% \
9 x S# u5 K! Y2 j; q U
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
