|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。" j4 ^* F" ~8 i: O, G" i% e
- h6 ?4 D3 m# k, H, {& m
现在分享出来。。。
" Q- I: i* g5 n7 f, |( v5 ~" b1 [" s" o
工具:myccl.OD# e x. ? b s0 Q2 ~
8 [' f2 `( \% V+ S' `4 c4 o, J
免杀必备的工具哦 7 w# n" d5 j u6 D# o! K8 M% b
) a" x" }+ _) i2 l9 K6 v# a9 _
用myccl分块文件。。。尽量少点 比如 10块
* V5 e! G2 ^5 n' e( n$ Y' F% N; H; N+ p {
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)( f" p" B! O0 h% G9 r5 j, V
; t- S' W Y" @$ U- z1 Q H' F2 L$ ~好了,这个时候会提示文件无法运行的窗口,
: B0 S2 {# N5 _4 x, |* t- M- e: o, W) ]2 L3 H0 [' O
我们不管它,直接确定。。
, c0 j) q3 q' H0 D4 o+ g0 V% @
% }# i7 ~' _4 \% N. M' N7 J8 k$ ^如果一个文件拖入OD 杀软提示了主动防御的提示" u& }) d) g1 }- s/ u& }# b
0 S4 e: n" {7 r7 }% H我们记下这个文件,删除它,- `3 N, C7 e3 |" j
# J' P7 }) c; p- z0 b7 X
接着拖入其他文件。。一一确定。。
, r, R7 B/ M! o
; P: ] o; s1 i6 D) ^+ N3 s知道没有提示,我们手动删除掉被提示的文件。。。7 i" W3 b- C5 ^4 n V. ? G+ P, {
6 T: M9 \2 w' Y- c% A# ^, o
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件' `6 L( [! Y! L% [# ?( x9 F
- D4 s7 C2 q4 E0 S, v- ?4 o h
接着二次处理,重复定位 直到文件长度为2的时候& _; g7 @1 M3 ]# r6 C5 \
, m/ A) I, X' P% n' q2 e) l6 m! ]8 p我们久确定了我们木马的主动防御特征码。6 I8 Y, G1 h6 f, U' l5 R7 i
( J, S+ R0 |5 z注意,每个杀软的对不同的木马的特征码是不一样的
6 g$ H7 k: b* ]4 v3 S4 {2 ^# d9 I2 Z0 h4 K
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
