|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
$ n+ j5 [; a, R1 R" f3 W
6 ~4 r7 ~' b; `3 o6 L, h现在分享出来。。。
% D. Z) u& M. j! X8 D; m* V# C2 K3 L/ H. L3 V
工具:myccl.OD
' P1 L. K2 Z) S) B. X' t9 V- P* s- V3 p( z( b0 B; K+ J7 w
免杀必备的工具哦 7 p' ]4 L, i7 J$ D
( l! q0 F7 S& |" g' N用myccl分块文件。。。尽量少点 比如 10块& a6 D8 G+ I) j, O6 T$ x$ ?
0 A8 i) F$ N4 W# _; B打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
* [' x1 @5 j( T ~( U9 Q5 r% F, K) n" I- R6 a
好了,这个时候会提示文件无法运行的窗口,
/ A/ }# M' a" i' E. x3 z' _2 Y, n# Q8 S5 s* @) l/ W) x
我们不管它,直接确定。。
3 E) T$ M2 M0 Q b. ?) r* Q# G. }2 {; |; w& k: L
如果一个文件拖入OD 杀软提示了主动防御的提示. ]1 L- O! Q: c4 ^. M p
3 v. I' ~8 {- W' J- N6 d我们记下这个文件,删除它,. z; K: w8 a9 X* ^1 F8 l `' T
/ A& W5 S$ U3 f( d# Y
接着拖入其他文件。。一一确定。。0 Z) i$ S2 p% ^# x( I) p
3 Y0 ~) D& a+ H! R1 r8 r" Q知道没有提示,我们手动删除掉被提示的文件。。。4 M8 l# h- Q( N) t
& S% Q8 d: D: H8 Q7 C1 Y接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
: P& q Z9 m8 j9 k
! O1 K; j4 W, E1 V, g接着二次处理,重复定位 直到文件长度为2的时候1 F% M* d) l# T' ^" E7 G+ ?
% E) A. D# y) _5 u# U; x9 a0 W4 w
我们久确定了我们木马的主动防御特征码。
: S* [9 [) v0 w$ Q8 h5 C
9 S: p# P: f+ t1 W- ~% q4 P+ E注意,每个杀软的对不同的木马的特征码是不一样的
' C* g$ u3 s [7 y% T6 S
[. l( T8 r7 K我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 