|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
& q; \& y& n: }
6 c' M$ k8 ^! v$ Q现在分享出来。。。- E: [) w0 j7 U/ t' X. y. a. ?
& c: n9 ? y0 `. _9 a8 v: D3 b
工具:myccl.OD
7 n& o# `9 z, f5 A
+ d, s& [, {* X4 g( t( {免杀必备的工具哦 8 F& L7 c( J, q% R: a
' G& |0 r |* I8 m
用myccl分块文件。。。尽量少点 比如 10块
( v7 S3 X, O( L7 _2 ~8 f$ p
. I* \9 Z. a% C9 t* d4 r/ h打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了) x/ S! }" B$ r% ^0 P2 g7 t2 r9 o
7 `: |' `' t# L$ d, X. I7 D2 j
好了,这个时候会提示文件无法运行的窗口,, K6 M' J% Z, o/ W. P3 {3 g( {
- @8 |" Y p9 E1 ~我们不管它,直接确定。。% Q# g1 S/ o7 I; y( ~
5 G. F) Z7 Y9 U; j: E
如果一个文件拖入OD 杀软提示了主动防御的提示
3 J! R8 I% ^0 x% ^1 m! A0 v, @4 V* k/ T& A; o0 F: m8 p8 g* `
我们记下这个文件,删除它,- f. b- o$ n# u' k& X% W' x
0 j$ t: b7 Y; e2 G7 S接着拖入其他文件。。一一确定。。
{7 _, g7 M( m! W1 i3 a% @& ^' m0 m' f- Y& \3 r, w
知道没有提示,我们手动删除掉被提示的文件。。。
1 o& k( V: t. d3 d
5 J% s! V6 N" @0 n G接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件$ L. Q B1 a, c% A; ?
+ f; j7 v' U' o9 [/ g1 R6 K接着二次处理,重复定位 直到文件长度为2的时候* b% c* l# Y/ T% O+ N
; r1 i$ r7 @# j1 {7 y7 D
我们久确定了我们木马的主动防御特征码。- Q G/ m2 A/ w4 E7 ` p' |* l+ P
% V" r; |( \7 `6 Z; Q; {2 y0 k注意,每个杀软的对不同的木马的特征码是不一样的6 Z9 k! q& T: u9 E' e
7 B# M" r! {2 C
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
