返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
, U: F6 |  c1 {& C2 y; n% T. o0 `, u/ D5 M) R
现在分享出来。。。
3 s- L9 k- |" P4 W
, J( d" A$ a: O- q9 \- w工具:myccl.OD( ]' r+ x0 P  p* q% J

" y  K- d, w7 o7 z  K2 W( p/ s9 n免杀必备的工具哦 # v8 c. x" S/ l" w0 }; U$ g% u
* y4 S, `  R  L2 v& M0 F
用myccl分块文件。。。尽量少点   比如  10块  W# t& X7 P8 h1 F$ R6 T' G" b

0 P1 `! I, A6 u打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)$ j, d4 X; I5 T. @& ]

0 |) d  j1 s( L% b6 Z! Z好了,这个时候会提示文件无法运行的窗口,
% v0 ^. I2 ~: C3 _; s/ I- e
0 A2 m+ z- g% R) S1 ~3 A我们不管它,直接确定。。
8 Y# {! q% w) ]: M: ~4 P( D& m; i# x* a  k, K8 G* ]1 H
如果一个文件拖入OD 杀软提示了主动防御的提示
: X, C8 r& v, k9 o* O+ P3 B, I- q- G. f; _
我们记下这个文件,删除它,5 Y+ m" Z; h* s3 \

; E7 d3 D& t- g( B接着拖入其他文件。。一一确定。。8 L8 j: R# r! Z6 O7 H: |

% o! X5 Q9 W$ h4 C3 \+ ?6 E知道没有提示,我们手动删除掉被提示的文件。。。+ L4 ]( b5 O3 Z) K: f% E

0 }& }" p4 `/ k接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件% ?/ ^5 [1 ]$ C
5 N* o+ K' q, u' t3 L
接着二次处理,重复定位   直到文件长度为2的时候
4 o! }7 L8 g7 v: d0 M/ H+ u" o, \, h" @8 r. z# Q; g
我们久确定了我们木马的主动防御特征码。7 A, C0 g0 q" K: x4 M: K1 t
& \- a7 }: _4 Q( V) [: i, o, p
注意,每个杀软的对不同的木马的特征码是不一样的7 G$ O( u' P# q# ^8 @4 W5 k7 k0 \

: D- O# P+ m+ q/ d我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  5 n  Z; d# G9 K: u+ j0 Q4 L3 J
   本人是免杀菜鸟。。。。4 \# x+ v: w+ I! v( p7 V! p
. d% Y5 N' x1 Z; r# ?/ i* n% n
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表