|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
, b3 S" [: N' X1 L7 \- ?1 I4 D4 E$ D8 s
现在分享出来。。。
' @, j! `7 G0 z# d7 Q$ |4 I B
$ B% m a! w7 s& H+ ^7 ]+ z工具:myccl.OD- d7 Y/ u1 F' C p% G" A8 ]2 V7 g
- R; @+ O- w$ q3 `4 e* \$ j免杀必备的工具哦
, Q' t( [6 W, ~( k8 e" ~% s* D4 n
1 s5 t2 P5 K+ `3 V3 f$ L3 e& t用myccl分块文件。。。尽量少点 比如 10块- O. @3 m+ ?9 r* `, K) v5 `
- L3 ]$ B: A) f8 K* ]2 _1 o打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
2 {7 E$ @6 h3 v' Z/ `2 }% t2 g3 N" {+ l: Z
好了,这个时候会提示文件无法运行的窗口, k. ?, ^; N1 F& e0 [- T
' j0 G2 E$ A! V# h! S我们不管它,直接确定。。0 i% Z# V9 O/ {4 c3 L, P6 u+ S
; u4 y. m; W* u. f
如果一个文件拖入OD 杀软提示了主动防御的提示
M6 W! S8 _8 G+ j! ^1 [' R
* R$ B) n+ I* P3 Q1 F4 a2 h- i我们记下这个文件,删除它,
/ i( R1 g7 J! L& N8 z# e( o) T: Y0 ~+ A7 {# d+ m
接着拖入其他文件。。一一确定。。
/ P* h8 Q }1 E2 V0 d& m, W% M1 }8 s. A, N- w# n- l5 c
知道没有提示,我们手动删除掉被提示的文件。。。. i! U; ^* o/ ^1 W/ S$ y
6 ]) |1 @5 _1 W* j% |接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件 |+ S/ m, ^; E" P
! g# J; T) v- f/ |
接着二次处理,重复定位 直到文件长度为2的时候
4 V6 N- n) R- \6 K) G- F( W$ `0 A' k) v! y) O$ m
我们久确定了我们木马的主动防御特征码。1 }2 a# S4 `: Z) n6 e4 f+ w6 G# j
; r6 B5 w6 `2 u3 V; D/ R) H注意,每个杀软的对不同的木马的特征码是不一样的; U* {7 ~3 u( Z9 N/ h
# D8 t. p& Z5 \$ b V我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
