|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。6 f N7 {" n) J6 s. {% a, j4 M
% R, j, f: w0 k! J0 d
现在分享出来。。。2 ^! j. j. C. _0 |2 o# a
. I# m% }0 B% A7 _工具:myccl.OD1 X% u9 U( u$ o4 A2 C, t# j
- ~7 k4 o/ ]0 l3 |4 P4 M1 D5 P: P
免杀必备的工具哦
: E1 H3 A8 |5 p8 {" }$ ]( p* p
. o7 E w0 F5 @7 }% j7 g; W6 ~用myccl分块文件。。。尽量少点 比如 10块% u: i. E6 @" q, b7 d1 T1 i
7 `5 y. P) s8 p$ C) _' \1 x打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
: }" m0 w0 T( R. f0 |6 q/ g9 w: N
好了,这个时候会提示文件无法运行的窗口,2 Q! r& H( X) z
+ j. {! s0 d' x' W+ R
我们不管它,直接确定。。
, X, D; E; g6 W, F! {: P- D h
. F* j+ w# ]7 O6 ^' t如果一个文件拖入OD 杀软提示了主动防御的提示' L; _6 l+ L' o6 ]6 c, S
6 ]1 e+ f/ z2 l0 @
我们记下这个文件,删除它,9 A8 I4 `, N) |) @5 \
& G$ Y* ]( q/ Y5 D% C5 Y2 c0 ^接着拖入其他文件。。一一确定。。9 c( Y' Z# [4 i) B* \# f3 H
* E2 f7 G: m2 Y0 b知道没有提示,我们手动删除掉被提示的文件。。。+ V: i7 }# Z( A0 D/ q( e6 ~$ k
, y( ~& V2 j7 |$ r, \& \( z* g; p接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件4 L! p9 z- z' S# d7 I3 G$ h
5 i: j" \& ?" x, a# z% v, v+ d
接着二次处理,重复定位 直到文件长度为2的时候
g3 m9 H; Q8 w! W, E! I$ v+ ^" J( N# Q( i7 |! d
我们久确定了我们木马的主动防御特征码。
6 A D3 v; _ l& j: v
! G& W% V B+ V9 _7 e; y注意,每个杀软的对不同的木马的特征码是不一样的" V' H. B# U# s% v
+ p" y0 Z4 c7 E. f
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
