Board logo

标题: [原创文章] 定位木马的主动特征码 [打印本页]

作者: 1335csy    时间: 2009-3-2 14:02     标题: 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。- p4 F! I/ _' [, b
3 \3 \8 @& Z$ P7 t: {9 R
现在分享出来。。。
1 |8 X8 c, y/ ?/ F6 H$ J( z$ k
* r9 r- E$ P! Z. E) p工具:myccl.OD% ]1 T# z5 X% W% Q2 Q
% [5 M+ R6 x; Q+ J+ b# V2 d
免杀必备的工具哦
+ ~1 V% m5 I' p/ ]+ @7 x
' Q: Q: \/ Y' J用myccl分块文件。。。尽量少点   比如  10块
- Z$ d7 X0 R) i7 J  u. b- C8 q/ Y9 b
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
1 `1 p: u, i' O- P% z
+ Z* z# ~4 X, e) x- `$ Q好了,这个时候会提示文件无法运行的窗口,
4 j; M6 p( q2 [& {  E
/ P! H! e: r' c; n我们不管它,直接确定。。
0 g' v5 M" X$ t! {% L. o- ]! Y/ h  ?# ?
如果一个文件拖入OD 杀软提示了主动防御的提示
7 D* v. f( Z2 M; m6 K
, D7 Q& }" q' F, k* K我们记下这个文件,删除它,5 f% j0 [7 ~1 e' ~
7 B) }* O2 T# o
接着拖入其他文件。。一一确定。。
- O% M) @4 f7 k
; [3 J- {  P) J  ~知道没有提示,我们手动删除掉被提示的文件。。。
" w, K% m1 K0 S+ j, Q! b7 \. b% K) Z/ `+ r' r( g7 M2 M
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
  l: E& E: ^- w: r+ W1 L* o8 u# n9 H8 C: k, |/ Q2 p# ]
接着二次处理,重复定位   直到文件长度为2的时候! A8 i- E+ w  ?0 H1 e$ o  ^
7 h1 }' h: \0 X- P0 i
我们久确定了我们木马的主动防御特征码。6 ?2 `" B. j( P8 `

* {9 S: d- E. o注意,每个杀软的对不同的木马的特征码是不一样的
- l  |4 D; f) B6 l$ V4 A! s( `7 K9 V8 y& z
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵
作者: 278835491    时间: 2009-3-2 14:08

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  ) E* z6 }, }' T- w! D7 M
   本人是免杀菜鸟。。。。
$ s  u! J( p7 c# R- W7 q: ~2 q$ H6 F7 R% _# P" u. M
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]
作者: 柔肠寸断    时间: 2009-3-2 21:26

谢谢咯
作者: 闲逛    时间: 2009-3-3 11:21

.m (40). 好像有点懂了。。。
作者: hilarylove    时间: 2009-3-3 14:32

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/) Powered by Discuz! 7.2