|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。; d e# Z/ v- ?% A# o$ r
$ d8 w/ y. R" ~$ ?6 y0 {
现在分享出来。。。5 M* N% @, K) ~/ a
. W9 W) D5 f& M( o ?1 L- k- P9 K工具:myccl.OD
- b6 {, G) p$ `. `4 ~" T3 w* A3 c0 b4 E4 _
免杀必备的工具哦 8 T. P9 M" N9 e1 A/ x1 W, _& o
( Y! J {* M8 d. @! z* v* J用myccl分块文件。。。尽量少点 比如 10块
& l+ c) H/ m- h( I, I) b6 q# ~( A" y$ M' q, F( U9 ]' `5 F
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
- Y7 d, k: {5 z# Q; U% `2 o6 {( ]; Z8 X! t1 O
好了,这个时候会提示文件无法运行的窗口,
& U9 g0 ~2 t# {. n- [
4 Q8 T% S5 V$ a Z1 R我们不管它,直接确定。。
, ]8 ~) G5 N6 k7 P* |, \7 {" ]
- g- M% D8 e; I _1 p9 ~8 C) Z; [如果一个文件拖入OD 杀软提示了主动防御的提示
/ h! s x4 n0 ^2 \. n" F: }; y4 r
2 L* ^: v5 x6 R7 [* g2 ^ o我们记下这个文件,删除它,8 N) ^3 y4 N2 q5 V5 |5 c* w
8 ~2 X3 q7 X1 P0 f
接着拖入其他文件。。一一确定。。 S0 z; d" Y2 V2 {
% @- ?; I6 `4 j8 t
知道没有提示,我们手动删除掉被提示的文件。。。
# o- r* m' H1 L+ C' f0 z9 s" f
; m$ s( b7 @, m# A8 p# B7 T( q8 ^. k接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件0 _ \5 x- e3 a9 j
8 E4 u9 n, K8 A& S& z1 z+ m. G9 m接着二次处理,重复定位 直到文件长度为2的时候
5 @ ?7 D4 @: |1 O" }+ k. l7 Q
/ s) `: R" b3 ~1 U; d我们久确定了我们木马的主动防御特征码。
8 M) H8 G' V6 c& h! i
: B' C' \, z {* D5 s% ~注意,每个杀软的对不同的木马的特征码是不一样的
& k D( K: y( H1 g4 E" K. i- Q3 @. M8 N! W1 V+ _" W* k& ~' D" v
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
