|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。- E4 [) @+ W) Z3 \' U9 B" P
3 a1 {3 t6 _& o! i9 P( j现在分享出来。。。: N, J$ }1 w! C/ z* f, \
: ]: D# R% ` |0 \- M9 Z
工具:myccl.OD6 W0 X; S) g; I- y
$ T% [6 P& A% q- Z0 Y$ g* m免杀必备的工具哦
: J0 b& [8 N, Q, }: p0 E3 M5 d" N4 J! S" P+ }% x5 u5 l% }$ c
用myccl分块文件。。。尽量少点 比如 10块
8 z: Y/ b5 }2 v' Q) L8 W. W+ R( ?) v
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)! p; J% N' b9 ~ B
$ G, \8 b. W. N) k/ L好了,这个时候会提示文件无法运行的窗口,
9 d& Y. v1 X3 f
* x$ ]7 K) V: p% X& C- s4 \& F2 P我们不管它,直接确定。。) h( {) f7 p+ t3 x! o G+ e" n
$ t g; G$ n& V7 _" w) Y. n$ A$ ~如果一个文件拖入OD 杀软提示了主动防御的提示% b* P! Q* r8 y
5 e3 C5 I5 X. C2 s2 U1 L1 @我们记下这个文件,删除它,
9 o- U( G+ F: Y) O1 I6 }; T, a. l, d" C5 \8 t
接着拖入其他文件。。一一确定。。
% P$ Z9 S2 L$ E' ~
% }5 e1 t- o" c知道没有提示,我们手动删除掉被提示的文件。。。: u& J6 f V# ?9 ]* X2 Z+ P1 _2 l
; {% I% ~5 m5 c接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件0 V! z% [* q/ p3 a# H( w
& C$ c* u" M1 a! c Y& Q2 \
接着二次处理,重复定位 直到文件长度为2的时候
9 I: J( B# t$ O0 V- v' g1 m5 b) L- w0 D- i n$ k5 X% ^
我们久确定了我们木马的主动防御特征码。
% f. Q: `1 j0 R+ f [) p8 \. P
5 T* x5 v. T6 ?% M注意,每个杀软的对不同的木马的特征码是不一样的
: r( q \. p+ U& H* O
R" \4 @" V' A我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
