|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
- Q" a. ?" b! w' l% p$ b2 e
& _: F( m1 ?6 @0 }2 \# c7 D现在分享出来。。。* G' j6 f: j; @0 X$ k7 Z% ^
8 w2 v2 d: p5 r* t& f2 T
工具:myccl.OD
% X' y. {8 Y. u# q3 M6 Y M% L8 Q& n" B$ m- k+ K" j
免杀必备的工具哦 ) w, |5 ?% Y; A" |% D
& B0 {- I8 P' o& E$ F
用myccl分块文件。。。尽量少点 比如 10块6 `. C( V- ?& F! b1 @9 Z
! e" s5 C3 T u! a) H% h, S, c- C: y6 o
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
3 D* o/ g' l) m3 P! T8 f
# w+ l5 ?0 Q3 C' `好了,这个时候会提示文件无法运行的窗口,3 U$ V) k5 h6 ~$ w1 h. Q
$ P+ A$ u1 \0 C
我们不管它,直接确定。。: M" u/ Y) b& c5 K5 Y1 ?7 g) @* ]
- I/ @2 D3 _1 K
如果一个文件拖入OD 杀软提示了主动防御的提示% I4 v9 @! \% |) F4 w
+ L" E0 K* T- U& K: S6 v9 c3 p我们记下这个文件,删除它,
+ |/ ]4 ]2 f6 j" H
% N/ i/ l4 I7 Y+ @7 j7 z- H( d% b% s接着拖入其他文件。。一一确定。。- r9 ?, x; G) u' ~
( ^. {- W, l% K, s8 A$ }
知道没有提示,我们手动删除掉被提示的文件。。。: G* C' \# @+ [# v+ W0 T
0 A% S3 w e0 L. u8 ^接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件. |/ J; W$ f5 j: `/ b
# }- U+ v& B9 g
接着二次处理,重复定位 直到文件长度为2的时候" |( v7 {& b% m* |1 K6 x
+ A" {# {" d1 i8 Z我们久确定了我们木马的主动防御特征码。) _/ r# C4 ^2 I
) @( A0 e1 [1 E+ ^6 v) }* Z
注意,每个杀软的对不同的木马的特征码是不一样的
0 `$ Y* K% Q# `) e2 p; R8 ?# C* L) G2 n5 o& h
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
