|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
$ `; j* m' b% ^% ~* w u5 j
1 }2 Z% r/ t# }. p; }* N现在分享出来。。。; L0 C5 U, P. S
4 Q, M% N3 m& t5 D5 Z
工具:myccl.OD
! H* B7 b- ]& U) g( e
/ H% Z4 x6 j$ ^% {5 W1 c+ G免杀必备的工具哦 5 m; F& S8 C1 h& ~$ Q: s: ]
$ w* |, F3 K T% z# L/ O9 L; K用myccl分块文件。。。尽量少点 比如 10块, g/ c4 k) z! V7 R- m
) L, ^1 g% j* s6 ]打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
) D+ U' f# x& X8 P: o0 @) R
3 H0 G! [1 b- ^3 \& i2 l# N0 d好了,这个时候会提示文件无法运行的窗口,
+ {$ ~9 c( b5 E7 Y! }' C! U: [2 g5 w
3 J% y. y$ N4 m4 E2 \我们不管它,直接确定。。
6 z, L. w; x" U4 B; ^4 F) h+ f0 m5 N% \" [$ Y) U9 B
如果一个文件拖入OD 杀软提示了主动防御的提示- G/ l) N& g5 c% O7 P. |+ s/ V7 e
( q. h* ]5 @- c1 y我们记下这个文件,删除它,: t1 ]6 R# o% D+ Y% k4 h
. d3 \! E- J$ ^" x, d; v0 ^5 E
接着拖入其他文件。。一一确定。。" a- w6 g) S+ X; L; I
) w3 f/ q ]% o! {+ \$ M; q/ V知道没有提示,我们手动删除掉被提示的文件。。。
. H3 x d7 F0 @# Y; H
% t$ O* j- A. a( `" t接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
& S0 R: f2 q% Z% {: r& ?' l: U# k p. l
接着二次处理,重复定位 直到文件长度为2的时候
; ^: x }2 y, C$ j
9 _: J. |" C( _# Q我们久确定了我们木马的主动防御特征码。- C0 b" q& Y. V. z1 @. @7 g3 ~
/ v: u" m3 G- [7 e' b; Z( S注意,每个杀软的对不同的木马的特征码是不一样的8 T- m3 l$ m/ ~0 K; e8 N5 V
9 ^" Y/ M( ]% z& {+ S) u I
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 