标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
- p4 F! I/ _' [, b
3 \3 \8 @& Z$ P7 t: {9 R
现在分享出来。。。
1 |8 X8 c, y/ ?/ F6 H$ J( z$ k
* r9 r- E$ P! Z. E) p
工具:myccl.OD
% ]1 T# z5 X% W% Q2 Q
% [5 M+ R6 x; Q+ J+ b# V2 d
免杀必备的工具哦
+ ~1 V% m5 I' p/ ]+ @7 x
' Q: Q: \/ Y' J
用myccl分块文件。。。尽量少点 比如 10块
- Z$ d7 X0 R) i7 J
u. b- C8 q/ Y9 b
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
1 `1 p: u, i' O- P% z
+ Z* z# ~4 X, e) x- `$ Q
好了,这个时候会提示文件无法运行的窗口,
4 j; M6 p( q2 [& { E
/ P! H! e: r' c; n
我们不管它,直接确定。。
0 g' v5 M" X$ t
! {% L. o- ]! Y/ h ?# ?
如果一个文件拖入OD 杀软提示了主动防御的提示
7 D* v. f( Z2 M; m6 K
, D7 Q& }" q' F, k* K
我们记下这个文件,删除它,
5 f% j0 [7 ~1 e' ~
7 B) }* O2 T# o
接着拖入其他文件。。一一确定。。
- O% M) @4 f7 k
; [3 J- { P) J ~
知道没有提示,我们手动删除掉被提示的文件。。。
" w, K% m1 K0 S+ j, Q! b7 \
. b% K) Z/ `+ r' r( g7 M2 M
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
l: E& E: ^- w: r+ W
1 L* o8 u# n9 H8 C: k, |/ Q2 p# ]
接着二次处理,重复定位 直到文件长度为2的时候
! A8 i- E+ w ?0 H1 e$ o ^
7 h1 }' h: \0 X- P0 i
我们久确定了我们木马的主动防御特征码。
6 ?2 `" B. j( P8 `
* {9 S: d- E. o
注意,每个杀软的对不同的木马的特征码是不一样的
- l |4 D; f) B6 l$ V
4 A! s( `7 K9 V8 y& z
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
) E* z6 }, }' T- w! D7 M
本人是免杀菜鸟。。。。
$ s u! J( p7 c# R- W7 q: ~2 q
$ H6 F7 R% _# P" u. M
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
