|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。. N2 K: R$ Q: [- S
' F. Z; i* S; p% r3 T
现在分享出来。。。0 `: Z& S' t' y' G: n" R
1 `. \ D8 g0 j, L8 v工具:myccl.OD
% A! V7 R8 T% V J( [1 W
2 t# m3 s1 t4 |3 c5 ^+ N- V免杀必备的工具哦
. ^+ W- p7 {1 ^0 y
( d+ C$ q' \" N* \) ^- q用myccl分块文件。。。尽量少点 比如 10块
; v# D. j# v; O& d# K* ]( W( m: H4 v8 Q+ z# t4 t
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
2 c* X9 y. `& u
3 g. P& V) ]9 |# M& p" t* I好了,这个时候会提示文件无法运行的窗口,. l& x( `1 v1 b A( g
+ f4 M; k4 A; A
我们不管它,直接确定。。8 k: c9 n# V. l N2 x
* p7 f$ D4 v8 k. s- h
如果一个文件拖入OD 杀软提示了主动防御的提示7 g) Y4 N$ [8 N( G9 A* _$ y7 R
2 {- @/ S2 U- M0 L, p+ _* z我们记下这个文件,删除它,. a3 s9 y6 c2 P/ K
: J0 ?% ~# A1 C6 m$ ?接着拖入其他文件。。一一确定。。9 |, z6 l9 T+ r/ E8 b& H
4 P+ q( k' Q* g
知道没有提示,我们手动删除掉被提示的文件。。。
, P" T+ \) }# u( w; X5 d9 l1 W0 E! V( ~
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
) K Q6 N' Q4 c% b( \8 s% \, r% a ~ Q' S m. [
接着二次处理,重复定位 直到文件长度为2的时候
7 N9 H$ ?2 ?, T2 C9 z1 C
5 G- I9 e" n! k; V% H1 X; \2 Q& y我们久确定了我们木马的主动防御特征码。/ u1 P& ~7 \# S: @+ \% E2 m
' j+ j. ~4 S' O4 H) i$ A, Z
注意,每个杀软的对不同的木马的特征码是不一样的
7 ]- o: ~0 a7 Z; D% ]; d' F6 d
; Y! f% X3 ^. Z3 i! o" [我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 