|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。- h; `. c* ~* z
0 ^# \8 O; \% T) e. B, N现在分享出来。。。
$ i% }( v/ l! L* ^; ~- e6 W
2 R4 q2 K l9 Z; K& A工具:myccl.OD7 t, K6 a8 Q7 m8 m. ~* G
1 E' W, g3 _: I' E免杀必备的工具哦 5 V2 n' k R; p" u, s5 \
9 e- S8 Q3 P! q/ } b# Z( j% m用myccl分块文件。。。尽量少点 比如 10块' g' f6 V% c* g6 h9 s6 u
) O, u) n2 L; @1 U Q1 k
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)% R5 e1 ]! V8 T# {$ p% ]; Z9 c
|- s- C. d( _/ L9 r' E好了,这个时候会提示文件无法运行的窗口,
+ o% Z( W4 o3 n- n- m+ l/ c! r* J: [- x0 O/ I7 m0 P0 t1 z
我们不管它,直接确定。。
5 U' q; x+ l! H- I: L) v
& B( x. \, I! @: {$ t6 n: t如果一个文件拖入OD 杀软提示了主动防御的提示8 L. X0 p$ L' }4 a0 P3 S
) z" ?4 P3 V. N; c5 u+ P7 m
我们记下这个文件,删除它,
& }, c4 r1 _5 @2 ]4 X" ]" Z3 u3 k4 N+ P# X @7 ^
接着拖入其他文件。。一一确定。。
+ E( _& [( o* ?# k: ^+ P9 o7 v; T ?
知道没有提示,我们手动删除掉被提示的文件。。。
7 Z5 J7 [3 {; l3 ]# A5 Q5 P! N4 Q0 M" |% I' Y2 O
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
- l0 @' ^! \+ x$ m. ^
0 L k- N# @$ J6 Z% _8 h2 B" i接着二次处理,重复定位 直到文件长度为2的时候0 A$ X m) V% q+ m! g& X) M X
4 f8 [) K' w/ A" L
我们久确定了我们木马的主动防御特征码。7 l) l- i$ {% K. ]
2 O% {2 ~- t9 H- g" P& U; P7 w/ N注意,每个杀软的对不同的木马的特征码是不一样的
- b' d1 H: ?. T) d7 W9 s
$ Z" U& Z6 F) ?我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
