返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。' @( G" P* n& L8 l' `5 ]

5 i! |& [. d8 H& g: l6 j, m  S$ Q现在分享出来。。。# T0 X$ L) N. F8 ^1 s! _9 w

. i- G& k; C- {3 u7 F3 B' E工具:myccl.OD+ U' o& W  |9 e# {4 Q

2 l$ z+ y6 u) u9 v免杀必备的工具哦 % \6 B: Q) Y* I9 Z) _1 m

: V+ F0 D1 p8 P8 v: B4 E用myccl分块文件。。。尽量少点   比如  10块
) J' H& g5 F* _' p3 N. k4 `6 b, D$ |# `) f. M% t
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
3 g# G& r. L- H, h! y& n+ K
. q% ^0 f  L7 q. V. N好了,这个时候会提示文件无法运行的窗口,: _) z. _' H/ `
3 U0 {$ l# G$ T$ V0 M( c
我们不管它,直接确定。。
  g8 D" o0 s. Q% i- S+ z7 [: L$ [- J+ x/ \. @. X
如果一个文件拖入OD 杀软提示了主动防御的提示# C  ~5 }6 ]. ?8 {

+ P0 z* x& ]" O4 N; K, D我们记下这个文件,删除它,
' [0 {+ N3 e9 m* @
4 m1 O- _3 Q! b. \) X" ?, F接着拖入其他文件。。一一确定。。
& ]0 ^3 t; S2 P1 L
# u0 ^( w/ I- T3 {知道没有提示,我们手动删除掉被提示的文件。。。& ~; ]* d# S- b3 O

2 T2 j: m+ }& b$ S3 v8 [接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件% L  u& z3 N1 r
0 F- x. |" }. _- [
接着二次处理,重复定位   直到文件长度为2的时候+ o) B/ {/ x+ q+ S' P
) L2 F) Q/ Q. \  t' M  \
我们久确定了我们木马的主动防御特征码。3 T; s" W# {& g: h& d& H$ P
, ~! T- R2 ^0 X) ]/ V8 h* K
注意,每个杀软的对不同的木马的特征码是不一样的
" \! i' N3 p' X
8 W  g* x1 x" m* J3 {我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

.m (40). 好像有点懂了。。。

TOP

谢谢咯

TOP

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  
9 e" m2 d% G$ ?$ d  [/ M: E2 g. [   本人是免杀菜鸟。。。。
, a  j5 I2 v; I' c, N8 \# B; w9 T6 c3 n$ Z5 F/ N! Y
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

返回列表