|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。4 M+ \0 ~4 L# h5 L; V
2 }0 L& `7 \! Y现在分享出来。。。9 g) y1 l ?: R% {) q& W: O/ ~
- Q1 j. ~7 E% a+ ]9 Q5 I
工具:myccl.OD
! j) Y& I3 j8 |7 \) ^ n
1 e/ Q: f. N9 x9 ^" h+ p免杀必备的工具哦
0 x% N& K$ e9 m" \3 l& U
1 C) J0 d( V* T用myccl分块文件。。。尽量少点 比如 10块
" U2 x+ L6 [: [- w
7 k+ d1 O0 L1 W& v) W( H x& H: ^- K打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)4 d' t. a/ |6 T8 c* x
5 M6 G. z. P9 m) B6 d5 T' i好了,这个时候会提示文件无法运行的窗口,
" y' i9 R! l8 n2 K8 p) t/ S D+ U0 N7 R( A, X* y9 v. ?$ a
我们不管它,直接确定。。
( Y3 P! q1 Q- i: J4 V3 @) w. z' u8 ]0 l7 U! v! A7 a# k
如果一个文件拖入OD 杀软提示了主动防御的提示1 F; u$ @( m/ W4 J: g( }
; X2 a6 ~! l' P# R$ O f我们记下这个文件,删除它,
0 |; ?* `" D( b& R* L7 I) d) q Z
, f# d/ d" Y5 a$ D2 m接着拖入其他文件。。一一确定。。& r3 S, _, |# ?. b
2 f3 D8 q# _( w# i* i
知道没有提示,我们手动删除掉被提示的文件。。。
" T: m( W, k) o8 H; R. Q$ l
- Z& E1 v+ `, G( Z7 c接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件2 n+ C+ K; Y2 `, K* f8 y# R5 e
3 B! L; B" N, e& i; m. K; ^# Q
接着二次处理,重复定位 直到文件长度为2的时候
2 D- |. K7 t9 G( s9 y& `( t m
5 W- ~1 A8 {* |0 K$ ]9 v我们久确定了我们木马的主动防御特征码。
1 s& d: @* H" b& D
1 x0 b* u# C' [2 a( C注意,每个杀软的对不同的木马的特征码是不一样的9 Z. q2 l) B# F4 Y f, I2 r
- t6 n d1 _0 K7 q& T我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
