|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
3 F; F$ o+ P- g) n' w7 U4 C6 G
6 v0 a: L8 P0 u( v7 G; o, h* a现在分享出来。。。
9 ?) [2 k7 S$ L3 A# Y$ o" R/ S; v$ d
, w; k6 a2 ]2 |" o$ n工具:myccl.OD
8 h6 Q. e) m. _$ M5 S2 {1 Z0 z5 u4 n1 d- i
免杀必备的工具哦
. ~: I+ N/ s$ ^3 ~& O& f0 R; a6 F5 U8 y* K
用myccl分块文件。。。尽量少点 比如 10块
& `7 W. I- ?* _* p2 g
, ], R6 l( x2 L4 [打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
4 Q* X3 o9 \: q3 y
: ^, R7 o; s/ p好了,这个时候会提示文件无法运行的窗口,* N* W& p) |! B$ x$ U4 c' q* W$ N5 u
: W6 ]. F$ |) L" b4 b- K. E我们不管它,直接确定。。
7 |" t# J6 T/ @0 X7 R4 W/ J* K( h* R. g5 E) b
如果一个文件拖入OD 杀软提示了主动防御的提示6 P) u) F: P+ f& ?% M7 S* C
: H, U- y8 G+ w7 e) V' E6 y我们记下这个文件,删除它,
! g! L- `0 v, Y9 I" B- B
, S; i/ F& t1 B' P+ j( q接着拖入其他文件。。一一确定。。
9 x+ @6 h8 J4 [2 ^1 j% f
+ o- @' P4 c; T9 q; r: i+ o% b知道没有提示,我们手动删除掉被提示的文件。。。/ U" o C _6 \3 E1 x3 ~
- M- _' J5 j2 \$ |! v* S9 ]' K
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件" H `% A |5 O3 D7 r
* {% Q: P4 S5 w, U3 g3 P接着二次处理,重复定位 直到文件长度为2的时候7 V, _0 F. h g r1 Q* t% {: t0 W9 Y0 [
$ p0 \$ u! Y; t) H. ^/ u ?, c
我们久确定了我们木马的主动防御特征码。) Y" h5 B+ h6 c4 N% w% E3 X4 g' b6 z
: R6 z" l z3 v2 L注意,每个杀软的对不同的木马的特征码是不一样的9 E- u+ p- ?5 ~2 \
) [. t5 v+ W$ f5 z0 c! s
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
