|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
; t4 P5 B p) Z* s) n( G" z5 q7 B# V: U+ s! \: l1 T' y
现在分享出来。。。3 m8 j$ s4 Z5 _- B$ H
8 a K' s* H. h! P2 I$ o5 j/ F% {% X工具:myccl.OD+ L2 i2 s, k! h& q1 l. f. i! q
* T2 ]8 i' V, H% P
免杀必备的工具哦
& N; v6 Q% [3 b" Y
. J! {; Z. p2 M Z- [用myccl分块文件。。。尽量少点 比如 10块- F/ c: \! D: H8 [4 J
; J% \+ s7 O' E( g打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
~: j2 C3 n8 C5 Y4 {, d3 |( K
- o; f0 v2 H/ v1 M# d好了,这个时候会提示文件无法运行的窗口,
' ?; T4 v# \9 y6 Y" s- q: Z; S2 V- o- k X4 `: _
我们不管它,直接确定。。7 m2 `! l0 @6 L) Q
1 \, K* e8 |- {$ Y6 U如果一个文件拖入OD 杀软提示了主动防御的提示- z9 ?% A7 T g: g
/ F+ a* O& v' H9 y我们记下这个文件,删除它,
! T3 |5 g/ h! u, _4 [6 s$ M+ w+ B, w0 [
接着拖入其他文件。。一一确定。。
0 N5 E! t& b% H8 z. j& L! i# X4 Q% @3 X9 B) Z$ R7 ~
知道没有提示,我们手动删除掉被提示的文件。。。
: N4 |8 X( G* N' Z* u9 O$ R" A$ [: x7 c
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件0 l* f+ |7 Z4 I" Y5 W) ~
3 f% a) y: b8 m' t接着二次处理,重复定位 直到文件长度为2的时候3 w9 P" K/ a& n9 x
3 r* C8 W) q2 X" q& g) ^( _7 u我们久确定了我们木马的主动防御特征码。
& c- A9 _- @8 w% h+ i N% ~- B+ m4 x5 _$ e5 S( o
注意,每个杀软的对不同的木马的特征码是不一样的0 `, P- U e& a8 U' O
- W3 o1 U" ^& [1 t% R, T9 t H
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
