返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。' z) x3 O! ?; z# ?& X6 v3 g

2 x! g# q2 j+ F8 Z: M% N现在分享出来。。。/ E, E/ p- T. I& q& A

" s1 H( x+ V& Z# [工具:myccl.OD% {4 c3 @* \+ d: L0 e' A

9 a- K) E2 S* [4 o' T$ ^9 R免杀必备的工具哦 + h9 S/ a+ D  K9 I  B) k
$ I. e" f" c( B6 e' P8 y  d
用myccl分块文件。。。尽量少点   比如  10块
& P. I" J4 p' A. w0 v/ b: p
# [6 }* x" j7 L6 s3 L, W打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
8 N% B4 `& ^% z& T5 A) W2 q( k1 R0 y$ X9 G
好了,这个时候会提示文件无法运行的窗口,# I) j' {5 b" O1 T) B

% B+ S! t0 k+ G9 q我们不管它,直接确定。。5 O# b0 K% p/ r1 f( o* I
2 `* D- f+ P9 W6 B' x6 |' K4 d9 |
如果一个文件拖入OD 杀软提示了主动防御的提示
6 B+ Y' V4 n! F, Y- J% s
$ ]! v( j; \3 s. ?) U" N我们记下这个文件,删除它,* W2 k# J9 T2 m) V# [5 @2 K
( k' @) |! O+ Z& y6 H% y
接着拖入其他文件。。一一确定。。
- w  J7 A+ V! K1 R6 A$ R6 q4 F) |  d* r% J* w
知道没有提示,我们手动删除掉被提示的文件。。。
/ A/ n& E' ]$ ]; e: K$ b! r
% s; [9 F/ y8 P4 a0 J6 j4 Y% Y接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
5 @3 m7 j6 s; K4 A
( S7 ^  {1 A! d4 u& k8 v接着二次处理,重复定位   直到文件长度为2的时候
1 R; {& T( n! z. T; A2 y+ h0 ^1 \  u, a; C1 d% U
我们久确定了我们木马的主动防御特征码。
, d* T, e9 a# q
7 M' ~9 `# a" z4 X: Z5 ]: E5 A注意,每个杀软的对不同的木马的特征码是不一样的
: G- P* [* U4 S) Z  b
% @, O- F& H4 a) N5 G+ X6 U# J0 n$ `我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  " T: J  f" S' T% G6 u/ ^& [  B
   本人是免杀菜鸟。。。。
& o7 m* I7 A- S5 L
9 O+ s! Z, D, N6 e% f* h* R/ s9 E[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表