返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
! g: O! l& i" Y& c0 }, h% g3 l/ @2 q- h% Z$ r7 `
现在分享出来。。。
8 O0 w: f1 K; _/ [0 L$ h$ f' H4 P
$ S7 \5 u/ Q/ w0 z工具:myccl.OD& m9 T( t+ l& Y, }! s8 l$ e
9 g: c0 G+ g5 t- G3 }
免杀必备的工具哦
* i* h. S7 X( z! r: c: X1 M& k4 ^- V3 F* v' H( k
用myccl分块文件。。。尽量少点   比如  10块
1 Z* J& u& K' V) \% u% _4 V3 C# Y; n0 ~  @. j
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)2 V/ I" J1 J4 b: c+ F7 N0 j0 H& N
# G$ n& L& G" |
好了,这个时候会提示文件无法运行的窗口,7 C3 J4 K; q* X- B) a# O
* X/ `% W  A" t# X3 I$ n( ^
我们不管它,直接确定。。
" p, c4 {0 R# Z5 g# |& Y1 @* ?( ]0 x6 M5 f5 `" `0 c* @
如果一个文件拖入OD 杀软提示了主动防御的提示* j& w2 `- W/ ^' R
* M  _9 V) A' K
我们记下这个文件,删除它,1 N% v) p- L. f$ h
/ ^$ c2 [4 C: |& o* |2 _
接着拖入其他文件。。一一确定。。- k; R( `" y" I6 H: S/ `
+ t8 H0 p! J) Z% ^/ h
知道没有提示,我们手动删除掉被提示的文件。。。
0 J. o. }5 ]. Q3 D6 {: g6 D, Z4 l: N8 L
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
  l/ T$ `3 h, V  z$ J7 P
7 a  R  ~$ T9 n, _" Y接着二次处理,重复定位   直到文件长度为2的时候, o. l; p0 }8 x7 }1 g) t8 ]
5 f2 \4 d$ N" p2 Y9 U
我们久确定了我们木马的主动防御特征码。4 ?2 o# Q/ V& @
5 w, k" t" y* m3 d& H, p
注意,每个杀软的对不同的木马的特征码是不一样的
/ l$ D6 [, L" K$ X
6 c" Q7 `2 c1 h6 R4 N) X我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  & E; \9 u5 P+ y7 F. v2 Q4 O
   本人是免杀菜鸟。。。。8 m% W* E5 |1 R0 X% u" ?- s! f

2 A6 a$ K5 W1 h2 B5 l" }[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表