|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
: m: ]7 E, c8 ?$ K- P2 u9 O" ]+ f% |
现在分享出来。。。4 _" j" L T) l' o0 e! ]$ r
6 {6 f: l% n8 v1 J2 A- ]5 r
工具:myccl.OD! X9 e* n% Y$ i! z) ^" U/ ~
( @. ? I) q, ~3 c! ]/ H0 B* W6 |免杀必备的工具哦
& t: |0 ]8 Y" j. x" ?" w0 W: t4 |) t, o
用myccl分块文件。。。尽量少点 比如 10块: J' A' }0 Y. B) q+ |" h, E# s" y
3 Y* ?+ ~5 m6 P$ g: n6 E3 |
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)" z3 S# U. T5 ?. K
6 |, `9 p$ T% w% Z& z% b好了,这个时候会提示文件无法运行的窗口,
# r, b( n( b1 i6 R& m
; k. Q4 Y3 X7 A. }9 J# A5 w我们不管它,直接确定。。9 Y5 G5 M2 p1 i1 x0 Z: R
! r3 W4 I B- q1 ^
如果一个文件拖入OD 杀软提示了主动防御的提示% ?& _8 @% g7 L$ v( }/ i$ O7 f
+ D+ H( ?. ^3 K0 E+ T
我们记下这个文件,删除它,
4 I1 N3 r$ S( v/ K
) p* J, a$ p" d1 \& w. v接着拖入其他文件。。一一确定。。* ~' D) {1 G. ^( \- a N) f8 A
4 {. E% Q { E+ f5 w+ g: |知道没有提示,我们手动删除掉被提示的文件。。。
3 j8 F" Z9 x* E- |) Q9 n. {8 k4 ]1 h5 a, |4 k" Q
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件; { V7 N$ `- B2 B8 U
) A- C: q3 H2 W# S, l8 A
接着二次处理,重复定位 直到文件长度为2的时候
$ k/ A4 c/ g. y% e" d* j7 Y7 k; G' P9 N! n2 S- W& F
我们久确定了我们木马的主动防御特征码。6 q+ u( z( b. z8 U1 F8 U
, T# i: |# J, C. E$ c注意,每个杀软的对不同的木马的特征码是不一样的% c+ |) D3 e2 y8 A% Y5 Y
: E! E0 q# J. P F" i/ Q; d
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
