返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。: Z. X& B) s( Z" c2 x0 G# X
5 Z/ V+ p7 J/ H# K) ]1 e+ J7 G5 _( P
现在分享出来。。。
( e# k; L2 D" g! U7 T4 B4 d. m3 v4 J" {* S$ d/ o
工具:myccl.OD) t+ C) H6 T$ s# k- U6 e* H

: w7 ^2 U) u* U# C7 u免杀必备的工具哦 8 b$ J7 G7 p* F2 C* ~& I* W
% c7 x6 X( R1 X
用myccl分块文件。。。尽量少点   比如  10块7 G0 d  b3 |& |2 X' n

) t( m1 }- |& [( }1 h: E: P9 b打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
! l8 {/ x: c, w# `- f: O  m, V. {/ {6 k, V: s( H
好了,这个时候会提示文件无法运行的窗口,
* _% Q& o9 b) w& t( Z
( J7 ]. G7 G% ~% X1 B7 U( e我们不管它,直接确定。。
* D/ b8 z- {1 B0 e) J1 c- O1 z) U1 J4 C& M+ f8 h
如果一个文件拖入OD 杀软提示了主动防御的提示
( B- F! g/ s: w7 |& C9 B
7 c( x6 v4 h0 S8 `$ p+ X3 ~我们记下这个文件,删除它,
0 `' t, P  a2 K6 J# z+ s3 p7 f
  L$ I1 I/ f- x* Y  X$ n接着拖入其他文件。。一一确定。。8 d( n* O8 ?& M0 R, e! Q
: t& Z  j/ g9 [( h, d
知道没有提示,我们手动删除掉被提示的文件。。。
; q+ w" |- {; a7 l, y
! s$ r1 [2 E" K6 \接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件! B- F% x, X% t* R# m# \+ z5 p

6 ?3 D) ]  ?8 G! e! w( j) i接着二次处理,重复定位   直到文件长度为2的时候
1 e- _6 H4 L( ]* q9 ?" O
# ^$ s$ G6 c0 Y4 A8 z+ y我们久确定了我们木马的主动防御特征码。( ?% q# r, K5 U7 M# B; f" _
9 T. R2 [0 k* d7 x: |' P( w
注意,每个杀软的对不同的木马的特征码是不一样的
" H1 i8 _2 ^) }$ _+ l/ x4 y' L7 u0 Y+ h* z
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  # Y# e, ?: [( Z
   本人是免杀菜鸟。。。。
% P3 t6 b6 Q, S1 @; B, m/ W# y5 z% O4 V  U1 T9 H
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表