|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
* C* ~9 q6 \9 i! V x9 P4 C' f5 a# u% i$ W
现在分享出来。。。
" D* V* d2 B; ?# ~* k
* U5 n& v5 U$ A1 ~; M0 T0 Q# J$ I工具:myccl.OD
, F ]1 A2 E4 s. Z) d7 N7 X* g# `0 @/ Q: Y% f2 ]
免杀必备的工具哦
! p8 m5 V2 ~6 f6 i, R3 w
5 S6 K, |6 |' }' H6 k用myccl分块文件。。。尽量少点 比如 10块
0 q* Q4 M0 W. Q8 v' b: n( w3 |2 j, z' C8 C& d9 h/ ~
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)5 l6 ]' z; i5 U$ S
' y4 i# G& F Q% D4 G
好了,这个时候会提示文件无法运行的窗口,
& K v! u v( W: W! K H0 e) q# e
6 o+ @& v( A4 ^6 b' ^我们不管它,直接确定。。4 G8 `# d+ M |) m% a0 O
' Z1 [) G$ s6 E- m! g4 ?. U8 l5 q* n如果一个文件拖入OD 杀软提示了主动防御的提示0 n; y; ~0 x& H B8 v
- x* Y0 w3 q# N7 K, s5 B
我们记下这个文件,删除它,7 ]4 A& C0 g5 |
( d4 ? _8 q8 f m接着拖入其他文件。。一一确定。。
. `) s5 d5 I& k, I: F8 d) S2 O2 F* ]2 L% i* b1 W. a
知道没有提示,我们手动删除掉被提示的文件。。。( l7 r/ s. g9 Q1 J, v; C+ F3 \0 X
. T) @, B- ] X' ]4 Y# b
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件1 g5 {' U, q E" C! a. {3 j6 O
8 u( d4 R* Z5 k. |' S/ f
接着二次处理,重复定位 直到文件长度为2的时候
# N, K- {' _( {: f, J- x6 [" T8 K0 T% q7 r. N# g* i1 E T* V
我们久确定了我们木马的主动防御特征码。
9 m. V: y# B; [- _+ H* }5 y' Z. t( u% x; p4 n" r
注意,每个杀软的对不同的木马的特征码是不一样的
# t' w% m f( h3 ], r8 J
8 h& u# g: f6 B2 {% v$ \& D我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 