|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
; i1 e8 u: T9 I0 T
8 _' l& ]& g% P F7 D现在分享出来。。。
; h" R I4 f9 a1 a% I+ H; A {* A; k$ d- k
工具:myccl.OD+ t( A5 V5 N" b3 z/ H
. j2 n7 s8 o$ K- u# g2 [
免杀必备的工具哦
* i. o; a/ N3 t6 B0 ^$ ^7 X3 y6 r% P J E1 K" e ?2 E$ A: p( v
用myccl分块文件。。。尽量少点 比如 10块
8 {! [0 L: P4 W+ a7 D/ K+ l* g! D# Z1 \5 x/ W* H& ?5 F
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)0 }) X7 c' n ?. i
; a3 {) u u; V7 H2 g' U好了,这个时候会提示文件无法运行的窗口,7 \4 o5 R2 K8 u, X0 Z
' }3 U& g! N' V8 [9 Z+ n我们不管它,直接确定。。
. x: X* l/ X* c* X9 g A1 \( a& p# T
' T' d% L- m% @如果一个文件拖入OD 杀软提示了主动防御的提示8 U4 e9 o/ j8 {0 N- V+ b0 x
" f1 b3 r5 {) G0 ~我们记下这个文件,删除它,
2 O A2 W6 q2 v1 a
* T. A! w. r. G. P6 L1 q4 @3 @# {接着拖入其他文件。。一一确定。。% w( U9 A2 _# a
0 k5 E+ ~+ y. o# d3 F/ o5 i. g
知道没有提示,我们手动删除掉被提示的文件。。。
5 f4 p4 t: F$ U" E0 d* ]1 E
# O/ I4 t1 r8 L9 N4 @接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件7 p0 l# T& n) Q# u4 W: J( T2 q
" q u0 B8 ?: n2 O( V
接着二次处理,重复定位 直到文件长度为2的时候- ~1 l0 a/ F: I6 I1 g0 Y& N
! N7 s4 C, Z* ~7 ?
我们久确定了我们木马的主动防御特征码。
1 p% ]' U. G# u# H7 \. Y- r7 F( W G; M# m. ~( C/ q
注意,每个杀软的对不同的木马的特征码是不一样的, T" Z6 p0 P* A* ?- L6 P* S
9 \& w1 U2 d8 e8 r( F( B, q Y我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 