标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
! K% m5 I) ]9 i @" K1 L5 V
* E$ ]" t& W8 ^. I
现在分享出来。。。
o9 m: J3 G. U
" s0 v; T2 C1 u/ i! z
工具:myccl.OD
9 N( i/ w- ~5 H- k% @, n4 ^* V6 z
8 ~* r1 s; m1 ?$ L1 g
免杀必备的工具哦
% @! v$ ~8 u+ ~0 L5 t
6 {7 Y; I# R9 ^6 T: s, ~/ Y6 ^
用myccl分块文件。。。尽量少点 比如 10块
5 _7 n# j. R/ C
% f" v; U9 F8 m+ c8 ^
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
7 m2 B5 [! c8 V) d- t
1 I4 a2 o* j5 r$ B$ h
好了,这个时候会提示文件无法运行的窗口,
+ g- O* X& J5 ^; \$ n
% J, j( I, S& b& P/ U& `- u3 {4 l
我们不管它,直接确定。。
3 `# M4 @; d5 l6 @/ z) ~4 ~3 f
/ M2 @3 j0 u9 o# z5 o! A6 I
如果一个文件拖入OD 杀软提示了主动防御的提示
, h- R1 [+ {% f6 A/ A. `) i$ f
1 R: A W5 G. F& ]" H4 r4 T
我们记下这个文件,删除它,
# i0 T: g( R; f
9 D. g8 c% e) }6 q
接着拖入其他文件。。一一确定。。
, t8 @3 _, ~# y$ }7 }
+ d r. k) Q7 Z
知道没有提示,我们手动删除掉被提示的文件。。。
# ^7 Z' x o& \
# u! R+ g, R. l2 \+ c# T
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
0 o2 v0 _, y1 s7 } p9 s1 o1 d
' m/ N( v0 n0 M- N2 ~# e
接着二次处理,重复定位 直到文件长度为2的时候
1 O( @! Y1 Y3 ~$ n, \
H5 q3 }- n$ w; h
我们久确定了我们木马的主动防御特征码。
3 o. }* ]2 \6 q0 t( J! r
& v6 z; z+ r1 R3 T3 Z# b( Z1 K
注意,每个杀软的对不同的木马的特征码是不一样的
# @$ }9 K% V# j7 g0 ]
2 ?) k3 z9 c1 M
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
9 \: z0 c; ?1 y0 d6 P
本人是免杀菜鸟。。。。
4 i) x# m$ ], \4 A, o
8 Y! ~2 @" G" a3 r7 f$ u! s9 W
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2