|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
- w) U9 F7 A3 n
0 [! H, p2 A; E, L) _" [3 p现在分享出来。。。" r( m4 _( m ?+ p& l) e1 O3 N
4 i# [. w5 ?( m! G. \ `' z. `工具:myccl.OD
: h, }, c" Q- u2 M. g8 l7 _0 ]0 s7 i. M
免杀必备的工具哦
# M8 u& F+ @6 f( j
6 {5 t. Z2 Y& d' B6 n6 O用myccl分块文件。。。尽量少点 比如 10块! Q5 U2 Q! ~9 ]& H. B
. x( j9 I' ]. _0 W$ g( ]) C$ S" L. i打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
. k, m$ c9 }! ]
" C0 ]/ J+ n1 m好了,这个时候会提示文件无法运行的窗口,, O& b! Z. Z$ c I0 v
- I! L# y' s- @+ D# N
我们不管它,直接确定。。" ?5 i1 f1 W% n$ K( ]0 P
1 R9 `. c4 A" D0 ` F
如果一个文件拖入OD 杀软提示了主动防御的提示5 f% o9 t0 j8 o# b4 E+ z
1 L4 h; @2 L& r; i$ a3 B! b) V& g& ?
我们记下这个文件,删除它,
0 ?6 e- Q j2 Y( Z% B7 S* a
5 F, u- ?0 P7 \1 i4 w9 f" M接着拖入其他文件。。一一确定。。* T3 i1 J! {7 r/ p) K3 k5 Y9 ~
5 U/ G6 B- n8 D% ]+ ?
知道没有提示,我们手动删除掉被提示的文件。。。+ s; G7 V- @% k! m
: p) r3 @8 W# F接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
/ ^1 U6 i+ b8 ^ x1 I0 \3 u0 o2 l/ Q7 b+ ?# l L5 w
接着二次处理,重复定位 直到文件长度为2的时候8 p& S( Z r8 X5 J, z/ g1 r
0 y/ B( z; n' @% N/ M- t. ]我们久确定了我们木马的主动防御特征码。
4 j1 h% Q ]& U5 R1 J Z9 N5 Y% e2 M
注意,每个杀软的对不同的木马的特征码是不一样的7 W- ]4 }; f# l3 ]6 o. D+ h$ O
1 a: |; d' ?1 H我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 