标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
7 x X, ]3 q6 h( K
9 ^2 [$ a/ O3 X9 F
现在分享出来。。。
' o t- D( O2 e* d* ^' |
1 t5 U9 @; B# j* K( G
工具:myccl.OD
* z/ k" T: Y. T' X/ w z! [
1 r4 f: | r( s# g# n: `
免杀必备的工具哦
/ S2 L3 E$ l7 B$ G, v% b, d3 L. i4 Y
$ E' X; s5 M2 c% G0 _
用myccl分块文件。。。尽量少点 比如 10块
9 s3 ]0 I( t* x+ J8 ^
! d/ x+ c7 a; Q- C
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
$ N( [6 p/ l& j$ d# b2 X# {* M, g
1 ]0 p' ]* w) D0 }
好了,这个时候会提示文件无法运行的窗口,
$ ?- c( ]' n5 U/ x. H. L
8 X# p- a4 F/ i9 l' Z( v
我们不管它,直接确定。。
6 S% k; e* v& p: u% p
0 l- |- f( _5 a9 |, R) t
如果一个文件拖入OD 杀软提示了主动防御的提示
3 Y6 }4 ~* `" q9 N0 K* O" J, l
) e: T( a. k1 G5 h
我们记下这个文件,删除它,
2 ?9 J) e ]# k; V
" h& i; L1 w$ A: Y
接着拖入其他文件。。一一确定。。
i) a) D% }* J2 _
0 R! S# V; H3 D2 D2 Z9 r
知道没有提示,我们手动删除掉被提示的文件。。。
" F8 l; i$ g3 p6 M, ~$ R2 [6 J$ {
) a6 [! R( J# t* q, i2 `
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
$ O$ i4 }: L+ X9 o+ ?# |& f' `
+ O: `( Q$ f* d5 g' n
接着二次处理,重复定位 直到文件长度为2的时候
+ s8 U/ q8 P# _; K8 u
+ T/ V2 O; M# k7 m* ?5 @
我们久确定了我们木马的主动防御特征码。
" O& |7 g" O+ |' I1 k7 m2 s3 w
4 X2 R9 J, n1 [; D1 _
注意,每个杀软的对不同的木马的特征码是不一样的
; g6 m2 y L! r8 k6 I6 x
0 Y9 [: A+ O6 _8 U; \
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
: H" ^3 l6 l" Q, O
本人是免杀菜鸟。。。。
, {$ |. g$ `. p9 f; j! S
* A6 ]+ k: D4 }# k T
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2