|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
) e& |9 X# W8 H+ g1 ?
/ t) P p! H( V# |现在分享出来。。。
5 s. p6 x2 _% _$ t* @/ ]' a, Y P2 }! D8 a# u
工具:myccl.OD' }3 K* M1 g* U) }; s
: d) R" S& H0 b2 D4 ?3 L& [- A5 w7 I% f
免杀必备的工具哦 7 _5 [4 T7 \9 E
) j- e2 n' s2 H5 ^
用myccl分块文件。。。尽量少点 比如 10块! t. x5 T8 |" j
/ P% k4 a. O' w7 t* k, |
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
5 O- t. `$ W. ~5 o* u4 j5 n. j1 e! r3 x0 e9 U8 }! A& F
好了,这个时候会提示文件无法运行的窗口,/ x R2 o( q8 V, W: F' L
; H' u& D( m' g j5 Z" p- E5 A我们不管它,直接确定。。
; O( U) ~. C' P4 n" J' h# W9 b% a1 Z5 Z3 e1 y/ n# Q5 z F3 I$ }
如果一个文件拖入OD 杀软提示了主动防御的提示
+ l8 a- Y5 d' `& w1 @' K
6 M% @1 E1 H1 w2 g/ @1 }我们记下这个文件,删除它,
2 l% ~ Z5 l4 y: l4 R- o$ V: y& S$ p5 w. ^$ E
接着拖入其他文件。。一一确定。。/ t$ v* O" I: Q7 z: \& }" U
4 v" @& X2 R! D2 ~) r* ~3 m
知道没有提示,我们手动删除掉被提示的文件。。。
* S' E% P0 M5 _) P& k
" k$ ~: c7 o' F: w$ \- W, Y1 [接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
- p l) ~8 R) K4 \! ]0 d( N- y% f( o$ T% N
接着二次处理,重复定位 直到文件长度为2的时候( D5 J. P7 g1 z& k. M. t; t! o
, c) S0 o" C- d- ~( g
我们久确定了我们木马的主动防御特征码。3 Z( P) E' G9 L* F9 Q
2 ^* G" O7 ?5 s+ v; {$ B' r注意,每个杀软的对不同的木马的特征码是不一样的" u, B% l5 V! `0 N6 B/ a( T4 P
6 j5 h, t5 c3 i; T
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
