|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。2 q; _, n6 E, F
# p, H* j8 l; `4 e1 @ J# c现在分享出来。。。
5 T4 h# I, Y4 S0 h- Y$ a4 Z$ H
8 M3 r+ ]4 m! p8 N: i# ?工具:myccl.OD
7 t! y0 F. A5 m# e8 k. N
! {/ z; \4 s2 F+ }/ L! f- O% O免杀必备的工具哦
0 w3 d6 o$ o& h3 l0 }2 x
* u9 u; f1 j: M9 X0 r& U) h用myccl分块文件。。。尽量少点 比如 10块7 z8 ]8 O4 x. v, Y, Y" S& [
% K# F+ {( I/ _/ G% z7 A; ?打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
9 @0 I/ u7 _9 b. k1 `, s! ^; q& y% Q K) `* M* t' p
好了,这个时候会提示文件无法运行的窗口,
5 O* q% E) C( c* }
9 R2 Y5 ]$ Q1 Y) D- I1 f+ j. B我们不管它,直接确定。。
+ y% S( p. A- g8 ?" A6 l3 A# V$ e* T( u& h& Z0 n
如果一个文件拖入OD 杀软提示了主动防御的提示2 z+ B3 R# {3 H
5 P1 l6 `4 z$ w+ c- b2 z7 r" X
我们记下这个文件,删除它,
: j) o# |0 p- e7 x4 R$ E1 L
- N7 E X8 d: `$ ]& V8 @5 l5 A接着拖入其他文件。。一一确定。。% v* ~" W- j0 j' x6 ?/ ?* F1 p$ P" ^: f
9 P9 `' B6 C, ~
知道没有提示,我们手动删除掉被提示的文件。。。( O- l! L+ a. _2 S* x; p
{5 C8 U9 K* y
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
! k: y0 S# G G7 X7 J% j! b
* E5 G% | p% _7 E$ Z接着二次处理,重复定位 直到文件长度为2的时候
! p: v2 V% b$ C' ~3 U: J* J% r& Q2 N- x3 L' Q0 m
我们久确定了我们木马的主动防御特征码。
( k3 c- e7 t0 E8 q, T6 R9 Q
+ o$ G# M3 J' m. ]! F注意,每个杀软的对不同的木马的特征码是不一样的* |+ I% _* g5 {& e
7 j9 _+ v3 c; X1 \0 s* l4 E2 m9 b我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
