返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。2 q; _, n6 E, F

# p, H* j8 l; `4 e1 @  J# c现在分享出来。。。
5 T4 h# I, Y4 S0 h- Y$ a4 Z$ H
8 M3 r+ ]4 m! p8 N: i# ?工具:myccl.OD
7 t! y0 F. A5 m# e8 k. N
! {/ z; \4 s2 F+ }/ L! f- O% O免杀必备的工具哦
0 w3 d6 o$ o& h3 l0 }2 x
* u9 u; f1 j: M9 X0 r& U) h用myccl分块文件。。。尽量少点   比如  10块7 z8 ]8 O4 x. v, Y, Y" S& [

% K# F+ {( I/ _/ G% z7 A; ?打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
9 @0 I/ u7 _9 b. k1 `, s! ^; q& y% Q  K) `* M* t' p
好了,这个时候会提示文件无法运行的窗口,
5 O* q% E) C( c* }
9 R2 Y5 ]$ Q1 Y) D- I1 f+ j. B我们不管它,直接确定。。
+ y% S( p. A- g8 ?" A6 l3 A# V$ e* T( u& h& Z0 n
如果一个文件拖入OD 杀软提示了主动防御的提示2 z+ B3 R# {3 H
5 P1 l6 `4 z$ w+ c- b2 z7 r" X
我们记下这个文件,删除它,
: j) o# |0 p- e7 x4 R$ E1 L
- N7 E  X8 d: `$ ]& V8 @5 l5 A接着拖入其他文件。。一一确定。。% v* ~" W- j0 j' x6 ?/ ?* F1 p$ P" ^: f
9 P9 `' B6 C, ~
知道没有提示,我们手动删除掉被提示的文件。。。( O- l! L+ a. _2 S* x; p
  {5 C8 U9 K* y
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
! k: y0 S# G  G7 X7 J% j! b
* E5 G% |  p% _7 E$ Z接着二次处理,重复定位   直到文件长度为2的时候
! p: v2 V% b$ C' ~3 U: J* J% r& Q2 N- x3 L' Q0 m
我们久确定了我们木马的主动防御特征码。
( k3 c- e7 t0 E8 q, T6 R9 Q
+ o$ G# M3 J' m. ]! F注意,每个杀软的对不同的木马的特征码是不一样的* |+ I% _* g5 {& e

7 j9 _+ v3 c; X1 \0 s* l4 E2 m9 b我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  
6 V8 B1 N1 u4 g   本人是免杀菜鸟。。。。
8 I  |( j: W% A* Q0 B, p' }/ i% g& M3 G- `/ Q. _& i" D0 L
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表