|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
/ E/ A# E8 V& |" v3 [
1 i1 m* q F) v3 `5 k0 Q7 l现在分享出来。。。
; |8 V' o% ?& v3 @" T" i$ f& N& I! E4 x; Q! Q+ |. N( x2 `
工具:myccl.OD* b+ r$ D2 ]4 X( Y! `" l
+ e3 T& t, j. E
免杀必备的工具哦
. |: h0 b( F8 l& {& t5 g k
+ r7 [7 H& l& i/ ]7 q用myccl分块文件。。。尽量少点 比如 10块. K! R- \; N: t. u9 u b
! l( B! e9 W9 U& m
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)8 i4 `( ?5 u" O. b& Z& Y
7 P- @; H, l/ A
好了,这个时候会提示文件无法运行的窗口,
5 _7 Z8 I6 @( J4 } \8 x
: F2 g% n1 b! O& j/ H6 Z2 w3 j我们不管它,直接确定。。, F, V" [, S) g% ^
* M: z1 }2 N% H8 W8 e w9 `7 {, c) m: f1 o+ N
如果一个文件拖入OD 杀软提示了主动防御的提示6 \$ ?; I/ ^& _- \; O
7 z: D5 x- `2 }% r# t$ U5 h9 w我们记下这个文件,删除它,
) Y# t) F% ? C+ D- d7 K3 m5 y& k$ k* w. j4 A) V" ~
接着拖入其他文件。。一一确定。。" M2 V8 R2 T- }7 E
+ |' ~7 V# o- E2 _( w+ q
知道没有提示,我们手动删除掉被提示的文件。。。- O# }) o( |9 S! r& t; s9 y
# b6 f" w/ H* r- C
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
' B! S( j; c- k v, K0 l" s* X1 Q+ K9 l9 J9 a
接着二次处理,重复定位 直到文件长度为2的时候
3 Q: v n4 ]" k' ]6 H, H( l+ _/ A0 e% E; M6 A4 N* x6 R" _
我们久确定了我们木马的主动防御特征码。
& b0 {8 d( i/ M0 f; y* q2 s
" ~3 l) Q4 P+ W' H- c; k注意,每个杀软的对不同的木马的特征码是不一样的" S8 _: I% D: g4 m
p- T4 u+ [& z/ q
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
