|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
1 B7 x8 y* x. M( z4 P. ]9 ~- P# ^ n
. _& U% R/ j( s0 I* a现在分享出来。。。
. R3 J. J: }' c: d7 V2 B Q: T: a( n3 {/ e+ q4 y F' j
工具:myccl.OD* I# o: g4 d9 W; O+ g: A7 @$ y" f6 }
3 } K6 J$ G) j) N9 Z4 u. c
免杀必备的工具哦 J1 Y8 i) h* x8 d
' q, l- ` a" R) n4 n% F
用myccl分块文件。。。尽量少点 比如 10块& Q# L5 O; e3 a1 c2 ~9 U
1 l- x; N8 h! Q. }& A6 @7 m打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
: l0 B1 d9 U) a q2 l% G/ z& i; F5 W# O" q/ x
好了,这个时候会提示文件无法运行的窗口,9 J5 E4 U; v4 ^. |
! I1 A* k2 f4 ?# v6 j! s我们不管它,直接确定。。. o/ b" e! C9 I, _' O: a
) n2 c4 y6 H0 `8 S' m6 Z如果一个文件拖入OD 杀软提示了主动防御的提示
) K: j! \, |/ T3 ]2 M4 n9 a; U
$ V' t3 L& w' S5 f* c我们记下这个文件,删除它,2 F- u+ |$ c, @* S2 O/ a
2 o/ r& [1 c s. t& n2 C( z! C; \接着拖入其他文件。。一一确定。。
! u, ] w5 j! P' n. s( z; Y& M& D9 R, Y6 H8 u
知道没有提示,我们手动删除掉被提示的文件。。。0 ]( n- R {; Q5 M3 {1 Q: l
9 L6 I! M& g/ }# ^' C
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
6 ?( o. X* }, Z1 Z2 f) D
* P6 @. @* M1 N# F2 H& ~接着二次处理,重复定位 直到文件长度为2的时候) B0 }! B) K* H! W, v/ A3 Z2 j
6 o3 l; U) P0 b& D+ H我们久确定了我们木马的主动防御特征码。
4 A" r9 e C, }
8 _% d* y( N6 r6 u5 L" K注意,每个杀软的对不同的木马的特征码是不一样的. X; U# ]5 ?8 b$ x1 H/ ~9 I
' W% `( |4 ]; ]* l4 R
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
