|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
9 N" G& v6 K+ L8 D# s
8 m; ?+ P) b- Z现在分享出来。。。
8 x0 z5 S: D$ F( d2 }* N: u
% e4 {( B+ `8 T* r2 @工具:myccl.OD' h, w* c5 N0 j# I
9 d! \1 ]" m! `0 ^免杀必备的工具哦
' N- f5 m0 I6 |1 f( X0 A% t$ k. ]. P O# B3 J1 b% y; Y
用myccl分块文件。。。尽量少点 比如 10块1 P7 U" k3 C' f. F$ i
! \/ u/ ?) o: e9 F) ?0 y打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
3 A0 Y0 T+ W3 d4 p: k% i
! | _ o+ R) z% f8 |2 v) x" O好了,这个时候会提示文件无法运行的窗口,
& H" N5 V1 X: S
& t q: r' S( P. Z) Z我们不管它,直接确定。。
- \; q$ m: Y+ D' |* j! n5 u8 |1 j% {9 f; J3 y. e, {- f6 l( D$ h
如果一个文件拖入OD 杀软提示了主动防御的提示
9 }; g; ]8 [6 g1 W s6 F: |: Q$ `* }( x, z* E
我们记下这个文件,删除它,
7 X8 j. g. R4 s5 Q! {( C& L2 X6 [! V5 L: l' n, L+ V
接着拖入其他文件。。一一确定。。
5 J) ]3 k& ]1 J& T+ e3 D4 ~& Z7 g( Y1 U2 @6 J4 T
知道没有提示,我们手动删除掉被提示的文件。。。
* o7 R1 Z4 ^! Y0 r0 k3 c; s
1 s3 ^/ H# i( d# Z* m2 H$ {2 n接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件8 ?. X( M, J7 I' C% y: F
; z4 Y" a9 Y- i! c2 a: B$ O# V接着二次处理,重复定位 直到文件长度为2的时候9 A- ?" W% H2 v. ?
7 t6 |+ S7 J t& [, q9 B( f9 J7 P
我们久确定了我们木马的主动防御特征码。0 F f9 q0 |1 `7 ^; Q$ R+ a/ C
2 B- {. M1 T3 k7 z% }3 ]! i4 V
注意,每个杀软的对不同的木马的特征码是不一样的
$ E) i$ R/ |: m2 E; K3 Q; S( n
/ {+ W$ L) x7 Q6 D* u- K8 w我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 