|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
; _7 h' n+ a r
! F2 i; H; {3 S9 I3 v现在分享出来。。。
6 j1 d' T) j* u$ x% Z. {7 @3 w$ w, |& x4 n
. c, M z2 C) L2 H/ N. S n工具:myccl.OD: R* ]7 E. t- ^' E0 K, q
$ H+ ~' S$ ~( c1 `, j2 c/ ~
免杀必备的工具哦
: x2 ~# C* _7 G o! j1 V
+ C7 w B9 q: {2 L% {用myccl分块文件。。。尽量少点 比如 10块 `: b, N0 j* e3 m! l* O9 J% [" ]- S
$ t4 ]+ @# _% b9 E打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)% L5 b: W; Y0 X3 `; m! w) H
6 E- L* J' J# j$ ~好了,这个时候会提示文件无法运行的窗口,
, \, j: o7 Y. c) |; `+ |1 f2 O! e/ M; R5 e8 h' b9 V( w
我们不管它,直接确定。。
' F, B5 _% Q0 R2 ^6 T( W4 `, j! p2 t/ V1 T
如果一个文件拖入OD 杀软提示了主动防御的提示. P2 y% @6 M- l2 U5 B, y
7 x/ |3 N) Y, w; N# l我们记下这个文件,删除它,
5 X9 F1 _ l6 x5 V, V8 r1 m' f: V' s
接着拖入其他文件。。一一确定。。* }4 ~6 P7 C8 T/ `/ H8 Z
1 Q/ C2 Q+ g- @8 b7 C知道没有提示,我们手动删除掉被提示的文件。。。9 `6 e" K$ @+ n1 D2 I1 Z+ C
# t$ t \( G6 I' n- j: i接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
! _5 L3 \- L k' Y" T$ M+ \6 ^$ d0 y$ u7 s, ?; G9 o4 ?" b: [
接着二次处理,重复定位 直到文件长度为2的时候+ I. w( Y+ J4 t' j+ V
0 X1 j- _8 B! u, @ t# {9 W我们久确定了我们木马的主动防御特征码。
3 R' f' A3 M9 R( X' s
# w! O- ], n& y1 Y注意,每个杀软的对不同的木马的特征码是不一样的5 e8 `0 V& O; P
5 Q) r( C! w; n& S. r. c
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
