|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
) F; J* W: w. a- ]/ s) L& r! f- M( P( k* F
现在分享出来。。。
' P& q& K5 K9 ^$ p) z5 H9 f
9 \9 E0 l2 B$ U( z工具:myccl.OD
8 O0 }" Y2 x0 ?" H5 _7 Y; H6 t7 j& B9 \- l
免杀必备的工具哦
1 H% `' P" m$ z% c* q3 F
7 [+ [9 B+ `* Z: w( ~' ? t" y! l用myccl分块文件。。。尽量少点 比如 10块6 d( t7 y6 X" M* M# x
1 W+ i( U: v3 I" s4 _% z9 T4 i
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)$ Q( q5 E+ a2 i
+ B. f4 |# Y. f; u2 ?( w% _. Q% o# _
好了,这个时候会提示文件无法运行的窗口,
* H2 C4 Y) C7 `8 p9 P U x) t5 @" y! U; K& U {+ v
我们不管它,直接确定。。
: g( Z4 h- Z# X# v, L" ]8 q; D6 I
* u1 @4 k) s" @ }3 J( c如果一个文件拖入OD 杀软提示了主动防御的提示. |9 h, O' ]- `$ z) G3 Z
. b7 ?+ X( U' ]3 E4 t4 j& X
我们记下这个文件,删除它,' z# t, d9 v7 ^+ U6 e
$ E o& n7 K) m5 V1 ^7 R接着拖入其他文件。。一一确定。。$ b4 H% T8 P' z% c$ l- H
3 B# C6 V8 z, e- m0 ?6 u; l知道没有提示,我们手动删除掉被提示的文件。。。
6 i+ ^; w8 N# a: n4 E, s0 L9 N0 r% m
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
; e/ U! j5 J+ @ ~* Z$ c/ H3 u" ~8 t
接着二次处理,重复定位 直到文件长度为2的时候
7 y" P/ d1 p- j/ H5 l( |' F
3 v# c: k6 ?7 ^, Y, o* T' _我们久确定了我们木马的主动防御特征码。9 w1 Q1 T$ T: V% c1 m% G
q: S7 m X7 W
注意,每个杀软的对不同的木马的特征码是不一样的& A( ~& e1 c* W) Z5 s
1 n9 ~' H8 l+ ]4 Q3 c# w" C C! o我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 