标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
4 S. U; }. c# g8 }% H7 M5 @5 `
3 S& V' ^: _. z2 v/ u
现在分享出来。。。
$ b/ I# \4 f, N- `8 A& E" W
! {% f3 ^' y' v: s) y2 V1 c" l) K5 U
工具:myccl.OD
@/ ?5 C' S- _" M+ R1 q4 F/ @
* n! o6 r% ]. q. i$ Y
免杀必备的工具哦
* |2 F4 N( ]% h; W
" l( f# I7 V1 o5 {4 ]
用myccl分块文件。。。尽量少点 比如 10块
8 T& c' o& \ P" p3 j* J; O% F( _
7 Q$ u. k/ V8 @ H8 z
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
9 l/ \$ S8 X" Y7 H' ?
5 g2 S7 G. l4 \' t9 D
好了,这个时候会提示文件无法运行的窗口,
" y; J. d/ u& ]% J
3 ^7 x9 R8 K4 R! z6 ~$ A. H0 J! {; g
我们不管它,直接确定。。
/ I2 v+ h( _5 F9 d) k8 x+ T
% D) X2 d" ^# t, X$ ]
如果一个文件拖入OD 杀软提示了主动防御的提示
* `3 E* t+ g- c$ v. [; U F
( m) ?% [4 \) L
我们记下这个文件,删除它,
3 n. W a1 }+ G4 {
" b- q9 T+ p7 _( _' @) N
接着拖入其他文件。。一一确定。。
H6 z# T' k6 t! g2 }( O9 b
# D& s" d( l7 F/ E- L
知道没有提示,我们手动删除掉被提示的文件。。。
3 U; M. M, _% M
7 H1 j+ E% ^( r ]5 P3 Z
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
9 x2 ?$ Y5 c2 A2 [1 d" c3 P
9 Y( F' E: F, E1 x, B8 M8 p
接着二次处理,重复定位 直到文件长度为2的时候
9 q+ ]& [- G/ j" `: J! w+ k
2 e; c, Y! I) P5 {# ~/ j# b# M
我们久确定了我们木马的主动防御特征码。
9 n) Z+ C* x' v
7 ^0 j* Q V! l6 U
注意,每个杀软的对不同的木马的特征码是不一样的
/ H, m' y9 f1 j4 N) A- G1 Z
; E7 }' z% P1 ]* `* J
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
7 ~/ f$ x1 i# N7 `
本人是免杀菜鸟。。。。
- M4 {0 W X3 O1 I& i
0 m: H4 u- g0 D: V* n% y
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
