标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
' |0 D2 Z0 Q$ y# {$ X1 N7 `7 E
; v3 c- J' U% f% `, ]
现在分享出来。。。
7 a. [7 E. V/ K' \9 q3 ]; C* r
* q7 p/ {8 k2 r6 p) N8 B
工具:myccl.OD
: {: g6 {- @) \- z
& P( [( j+ A2 |# G" J9 E
免杀必备的工具哦
* F5 d2 v2 I+ x' d
- O/ q5 g) h% n0 O" v o+ O S
用myccl分块文件。。。尽量少点 比如 10块
3 ]- j ]1 I4 C4 H' }( @
! S9 _& Y+ T# i
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
0 Q& h% `& ]% k- m7 T6 [" S$ j
: B8 o% [" y# Z8 ~, r: Z
好了,这个时候会提示文件无法运行的窗口,
0 k& d7 k5 N* `" Z' o9 e
1 z# y0 n. J/ v, t# d6 }& f
我们不管它,直接确定。。
5 R0 x/ |8 |: T8 _- P
, |, d- x s3 ?6 W# r2 ?0 p
如果一个文件拖入OD 杀软提示了主动防御的提示
) ]" D2 S) {# M
: i% J! Q0 H2 M8 [. M) j
我们记下这个文件,删除它,
. Q3 ^) I) k. l, h1 B
& F3 s2 H) L0 z0 `/ C, x8 O
接着拖入其他文件。。一一确定。。
6 o1 X) g4 f# H5 D
5 W) R0 {2 p; `+ f( m! J2 {$ \+ L$ D
知道没有提示,我们手动删除掉被提示的文件。。。
5 h* z1 q$ R6 y- Y4 F8 g
- {5 ]4 |, V4 H" W0 c
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
, A/ j) T! M9 t! M+ Q
! H. X6 s/ @# w- }
接着二次处理,重复定位 直到文件长度为2的时候
. i' {" L% l: h# }; ]0 q
5 M$ R. E& X3 d+ Z2 I
我们久确定了我们木马的主动防御特征码。
1 F4 G6 a% O U7 K; o5 Z# o
4 h+ s. N- ?& ]; h% [4 L% d2 |
注意,每个杀软的对不同的木马的特征码是不一样的
# O' S4 w, _# r2 |( y6 Z% u( |
; J+ J8 D; L% Y
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
9 X. p, f5 A) g& d( I
本人是免杀菜鸟。。。。
" z# T' V& b& m
. }- K7 E' k. D) z) X
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
