|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。; K, _3 ?# o1 W! T) \
' x# w1 z( a+ ?! O- ^# y- ?
现在分享出来。。。% J5 M2 h6 O* z7 f1 B" f* a
: \$ \( ~8 b& t9 n3 F9 q8 k
工具:myccl.OD
! o' I! U8 |/ d+ [- F' r9 Y; Z* I! W
免杀必备的工具哦 / {6 `$ A. i0 L: K8 Y$ a) D6 m: T
K: h/ c# I! c/ t, q, i' V( l用myccl分块文件。。。尽量少点 比如 10块
& G- K5 c! u6 n8 u4 T% f9 Z; o0 K( h& e6 O, D
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
: m( j3 X: v+ a0 k7 O- n3 y2 l+ o$ r0 n: ^( Y& ?
好了,这个时候会提示文件无法运行的窗口,
7 D7 U F) z6 p. V! F, l# D8 m9 ~, T- G2 }9 F+ M2 u
我们不管它,直接确定。。
" S: A1 D- O3 y: W, }6 }+ a0 D/ x
- b; B% A0 r2 k; ^" M如果一个文件拖入OD 杀软提示了主动防御的提示& ~ m1 C9 u. l3 {9 Q) e1 N) j' ~# M
7 m K8 R: q. D- V% M我们记下这个文件,删除它,6 B5 Q9 d# O% [* e) O \8 v
7 ^4 q7 R# K% G, v
接着拖入其他文件。。一一确定。。
/ L! f+ `* J, k" u
$ u, N+ A7 E6 R% N) H$ X知道没有提示,我们手动删除掉被提示的文件。。。
9 h. e. X2 V; l1 z7 q o2 F. K; d. a
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件% e) h+ i5 |! v/ I6 W% r' c3 ?
0 g& A' n& z' |+ a9 H接着二次处理,重复定位 直到文件长度为2的时候
4 `; \0 h# }5 k& C% d: G( z: E0 ]$ v
( b/ I0 R" D# P( U! i) p# b我们久确定了我们木马的主动防御特征码。9 ]; R4 g! J$ H$ M5 K' Q. \* o3 H
: n! e1 E- D, A8 k
注意,每个杀软的对不同的木马的特征码是不一样的
9 e `. Z s1 m( r
) u5 y1 L# n+ K; S/ f我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 