返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
  n" V* a; G. E  p& I- V# C) g/ ~% x+ q. d: c4 E( @
现在分享出来。。。: Q' a) O+ n& k5 N7 m

+ C, C' b  F$ X+ k0 S/ b工具:myccl.OD
. c2 G1 I; v6 F9 E( u2 q. p9 @5 |# r- L
免杀必备的工具哦
% R4 p9 o6 j6 B4 ^- Q3 G% Z  ^3 r* s2 O/ |8 P
用myccl分块文件。。。尽量少点   比如  10块5 l# ?# z" z1 N% g6 z+ U

0 G) }# F/ W2 I9 S& D8 @2 ~7 C6 e打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
, o- x! B2 e$ I  Y7 ]& L& R
0 }: K1 x" J6 q3 {- @' P6 [好了,这个时候会提示文件无法运行的窗口,
$ u7 T! A6 s3 J1 ?2 x% @! R) m% C3 R7 e7 z) |7 Q# g. L: @7 u) X
我们不管它,直接确定。。
, i* G0 f+ C* m# ]) w% I& D* O8 I' Q. L
如果一个文件拖入OD 杀软提示了主动防御的提示2 P0 q* r7 N3 Y; Z
/ H9 t$ [' q3 O- g
我们记下这个文件,删除它,: m4 d; ^! H( Z% J# _

- F. ~2 U- k. _1 D) ^& A接着拖入其他文件。。一一确定。。6 d9 {+ L) d0 S9 V
, Q) `# C, h7 d9 \. Y1 {% E
知道没有提示,我们手动删除掉被提示的文件。。。- o# h  T. N& A$ Q
1 u' `, P( I& H- ~6 m2 n
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
: @. ~% C7 |2 Z; R2 o+ W4 t  d: \6 s" R6 o
接着二次处理,重复定位   直到文件长度为2的时候# ]9 a- G% `' ~- P$ O
2 H) Y9 D. m# h( \! l
我们久确定了我们木马的主动防御特征码。
( _7 J/ o8 M: R; J2 k' S) g; }
. x7 T8 G1 L& H& v/ W注意,每个杀软的对不同的木马的特征码是不一样的& C2 `4 ?) W7 q
& C) u4 M1 {- n! u+ w! j4 H
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

.m (40). 好像有点懂了。。。

TOP

谢谢咯

TOP

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  7 R$ F4 `, n. G* a# [! R0 |' a
   本人是免杀菜鸟。。。。
( I( T- Q& c) I1 W# u$ v! v& f/ t9 x9 x, S7 |, o
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

返回列表