|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
; D3 h9 V( @: `; n) e! o' M$ o2 m- S7 H
现在分享出来。。。
% z3 c" j: t8 w& p1 i( x
) \# T! z1 ?3 j& F0 _6 b. A' {4 D工具:myccl.OD
1 w. C+ x+ {! {- `/ j7 g
( e+ X% T1 d! B, t& P) V! g( C免杀必备的工具哦 9 J( t& [7 G- M) b B$ [# P) F
5 W H# M/ H3 ~! Q2 C8 C" W用myccl分块文件。。。尽量少点 比如 10块
0 k) Z8 \% Z( g+ T9 c
3 r; \1 q. s, _! {打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)4 n/ B, h: | E. a
- o$ b# F% k9 G5 w7 h好了,这个时候会提示文件无法运行的窗口,
) _0 q: ~1 F3 z/ y2 f% B# i& @ K3 p- Y3 p! C) r) M7 b$ u
我们不管它,直接确定。。
/ @' u! }% ] f1 ]2 N t0 k; S0 \& n K6 f: `: v
如果一个文件拖入OD 杀软提示了主动防御的提示 _+ N, e: F) X. r7 j
* J4 q7 M2 S+ p
我们记下这个文件,删除它,. _. M2 `, k" g: y0 ?9 ]" w
$ a8 d+ e7 h& P b1 o6 }- B% C
接着拖入其他文件。。一一确定。。
# s3 H- i4 a9 K8 a5 \5 m! k$ u7 C8 j" L( T
知道没有提示,我们手动删除掉被提示的文件。。。# D) {3 T- q. ]+ Y7 e
5 W. k0 s; @& [5 E/ ~接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
% I( z/ s( t5 r r+ ^: d9 }7 V* |' L+ ^0 ~" Y7 |; s# x
接着二次处理,重复定位 直到文件长度为2的时候
- B( u7 q4 s6 i9 a" u" i0 N9 O% K$ S9 O( K( s/ W
我们久确定了我们木马的主动防御特征码。 n$ }2 _2 g, B; H
5 d! @/ ]. F* g% `+ e* U: {* O
注意,每个杀软的对不同的木马的特征码是不一样的3 C ^. o9 a( x H2 g4 ]1 v- A
7 {4 z7 H9 [! j9 e我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 