|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。9 _4 B7 l3 h+ A9 s& _9 [
' c2 g( K+ a2 h: U: ]8 }" {
现在分享出来。。。; M6 i( c8 B+ [6 z8 ^" H
* F8 {: \' v: b工具:myccl.OD
& z: r* |. h, i# X) j* _
* g, C# K3 R, v* t( Y免杀必备的工具哦
- R- e, J) g! N7 C
+ y0 u7 U" S' Y3 j用myccl分块文件。。。尽量少点 比如 10块/ n$ Y2 I( f8 W7 j s
' ]* W6 ~/ A2 m8 g3 a- R- y打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
/ b" |' w; {; U5 i+ U+ a1 |: r3 k4 \/ L k$ K P
好了,这个时候会提示文件无法运行的窗口,
' X; `. `; f5 [( `- E4 c n/ e2 H& Z- V0 W, v# i( Y- l
我们不管它,直接确定。。6 j8 z8 m' s5 S$ c" W: d
+ i& M( b B+ [8 G2 i* r* A如果一个文件拖入OD 杀软提示了主动防御的提示! z n: j5 |; K8 I- z( M* ?5 _: g
) _8 m& F7 D' r3 M2 ?我们记下这个文件,删除它,
- Y5 Z h3 y, M: ]( l J i& g' G1 n
接着拖入其他文件。。一一确定。。
D) ?+ \1 h' Z0 Z6 n+ B) `2 h* p# q( p) I( N
知道没有提示,我们手动删除掉被提示的文件。。。
. l7 G1 H \; c
) T7 C! I h/ `接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
# |/ F+ P& [4 _/ F/ c% w' `
9 W. m! ~. t, h0 D" t接着二次处理,重复定位 直到文件长度为2的时候
6 j# K/ i8 H" E) X: V o" e! t3 V7 d& u
我们久确定了我们木马的主动防御特征码。8 h p$ x0 z4 F0 G+ a* D
5 J4 x+ ^- L6 O/ M: z3 H注意,每个杀软的对不同的木马的特征码是不一样的6 @, M6 @2 A' P% D7 S6 @
% n7 t! o; y {5 |; H
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 