|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。: G# g- |2 T# S. |1 ]
1 @! D+ \) X ^+ j现在分享出来。。。
- h* b* X( {$ b# d# r! Z5 P2 k, s# U( _% _7 Z# c8 v
工具:myccl.OD
5 K& S: C3 p V2 |* a$ O
3 N2 W5 Z6 |$ x1 `8 Q' k免杀必备的工具哦 : A. x' ^; N" w w8 L
" k2 ]7 [2 Z8 B6 Z, L) }2 X# L用myccl分块文件。。。尽量少点 比如 10块
$ v( s/ |+ B5 o3 g/ E* X5 l
7 v( K1 V1 |, l, q+ z; r打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)7 F. M& ?* a: x1 c/ n0 Z
7 U0 E3 @" z5 Z2 ?% @
好了,这个时候会提示文件无法运行的窗口,$ f5 D! V0 E \) t' s
m! Y4 _7 S- \' R1 n我们不管它,直接确定。。
: H6 q4 i* ?1 j8 W* _& s1 a+ n/ Q& t5 a5 y
如果一个文件拖入OD 杀软提示了主动防御的提示: E) s' V# B/ r( q7 s+ y4 l. g. _
! ^% ?1 d! W7 W( Z; ]; c我们记下这个文件,删除它,
" r3 Q1 O2 o2 s' |' L, n7 c6 M- F. p$ @# w
接着拖入其他文件。。一一确定。。
( G( p2 ~) d" v5 k2 I% o$ S k4 b9 R) i
知道没有提示,我们手动删除掉被提示的文件。。。+ |$ [/ E3 ]+ X( o( R, `
' X6 S# K r3 W2 t接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
4 D$ P6 L5 J) f }/ }
) V8 x w; w% V! ?6 q接着二次处理,重复定位 直到文件长度为2的时候8 z) q" `8 N0 h
5 X4 E* | W' l' l: f我们久确定了我们木马的主动防御特征码。0 t2 m) A/ l$ c0 Q8 U% m
3 Y0 F, j% b! g7 B# x: q注意,每个杀软的对不同的木马的特征码是不一样的
4 `8 a* ~5 @- d S# T$ E3 L' B; ^# v5 u# o4 X4 O
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 