|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。 h, k" u) H1 {, m" K
' d e: n4 B% f/ ?, Y+ H) [# }现在分享出来。。。
$ b' J( r6 r! ]; v* H2 A7 p) c1 B9 f3 t% x/ a
工具:myccl.OD& R2 m8 [- q; g# i' h5 G
1 {7 C3 L* `: E! }/ t/ k免杀必备的工具哦 * V* G J( s3 d
; A+ Q$ w2 R( X- {- C+ T, E
用myccl分块文件。。。尽量少点 比如 10块
+ P E! H/ \8 P4 z+ A& V" d: \1 C) J# }6 E4 r+ P' x7 m6 A
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)9 M' T/ t9 {' A0 r3 X, l/ E
; C: x: D1 E1 |" f! o4 c$ b好了,这个时候会提示文件无法运行的窗口,
# O, w9 N0 W! s% t: k! d
+ d2 i$ r1 \3 y$ i% \5 [% S; Z/ [我们不管它,直接确定。。. x8 w8 I1 N. Q1 Z }- B2 ~+ q. N
/ u3 k, W8 I& @6 n
如果一个文件拖入OD 杀软提示了主动防御的提示
! `) g' N$ m6 M+ M$ G1 W
4 Q2 j( y( d g/ ^1 A4 u3 v1 U* d! ?6 W我们记下这个文件,删除它,. ^. q# Z/ P7 A/ x
) C3 T6 j: L* t接着拖入其他文件。。一一确定。。
$ j: ~* A. W9 x3 @; ]# G' q2 n9 [: d
知道没有提示,我们手动删除掉被提示的文件。。。
& D7 Q C* k9 d# } \: v5 ^7 ~" C" O% b) n% G% y: X+ f, U
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
1 l) r: o9 E% V8 c3 Y
j3 y. l: o2 f0 M接着二次处理,重复定位 直到文件长度为2的时候2 r5 P. Q6 Q1 i3 q8 ~' ~4 w* G
4 R1 Y7 {/ k% K
我们久确定了我们木马的主动防御特征码。
4 }" J# A& Y# n& Y5 z2 ~+ m: b) K5 i) Q& J: ?, J# m' y; k
注意,每个杀软的对不同的木马的特征码是不一样的
4 Z8 T9 i4 K) B( t4 H& b4 q* o I! P1 c
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
