返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
/ i5 f* N& h6 u8 A% B* b6 a% J3 i0 U: U% [# d+ h, a4 D  ~9 c
现在分享出来。。。# P6 X7 C  ]. ^/ c& r

! j3 |0 D* t0 j3 L2 Y8 s9 r工具:myccl.OD
6 Z6 g- H0 w8 C5 h& {
' s% h. h; P+ k/ S: w% n$ R7 v免杀必备的工具哦 3 \6 G  P! ?8 m/ }" J4 {0 Y) x

/ b* ^6 a- m. q% x2 D" E用myccl分块文件。。。尽量少点   比如  10块+ D+ n' ?! w& Z+ ^

$ Y0 [9 k6 Y6 Y) _打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了): y1 C1 K6 c9 f% V$ Y
/ _- A+ q) o' V* k' s6 _& ~0 p
好了,这个时候会提示文件无法运行的窗口,! l0 A/ f, O) c" i$ M: p

( r  q( M& {6 }3 G我们不管它,直接确定。。; m: T" ?# W3 W+ u( }- d( y5 |

7 Q: U) x3 [$ ?9 Y  u- T如果一个文件拖入OD 杀软提示了主动防御的提示
: [" B' v6 r# @# E3 Z* Q3 c: Q8 Y" \# f' r  m
我们记下这个文件,删除它,6 Q( _9 Q; O1 u1 Q4 n0 x

- _5 w& r( ^, ~& J接着拖入其他文件。。一一确定。。* W+ T" i2 P2 ?# m

  a$ R) k4 m$ y) h知道没有提示,我们手动删除掉被提示的文件。。。
% d% V/ Z: t9 h' Y" `- H5 n9 _
1 f" k+ i3 Z. S0 V" e& l接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
" X4 v- u% h! y' }! h6 o' B
% ?/ p4 y5 K; J$ P( i接着二次处理,重复定位   直到文件长度为2的时候! A2 ~$ t( Q. t; |- @' |

$ B. b8 Y1 n& E& u; H我们久确定了我们木马的主动防御特征码。
8 \4 ]% x. X3 c7 D# j, ~+ G1 b' k0 j# t3 b/ m  b6 L4 \
注意,每个杀软的对不同的木马的特征码是不一样的$ K2 T: K% k( C5 ]
! c5 E+ ]3 U3 l
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  # e9 t% V4 a9 F, F% Y
   本人是免杀菜鸟。。。。
5 X8 v, z0 r1 `
* J  C' V; Z8 r( }! a7 p. N% [[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表