|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。7 e" v$ d# f0 L% F. K
4 U' _; P) w; E
现在分享出来。。。
% J, b0 f! V8 s9 l8 r
7 i3 |9 ]% o6 y. y6 u) E工具:myccl.OD U& r" X' a/ Q% Z
) L' G# G" `# G c$ ~0 a) A, A
免杀必备的工具哦 ' Y' e" I$ [5 N2 x" ~( B- f
% l7 G9 s% {- p1 O! l% t$ H2 r3 J
用myccl分块文件。。。尽量少点 比如 10块
" H7 G3 F# e) T+ F" C2 F8 V( M; ^/ w$ K
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)- t* T; g! o/ \( ]; \ x
# n- G0 D5 _3 K& v
好了,这个时候会提示文件无法运行的窗口," P' P& y) W. x5 S, S# E
; Q% z( a/ o7 ]+ y5 G6 E ]9 v
我们不管它,直接确定。。6 ?+ C/ ]4 ~2 G. N
- Y$ p6 M9 ]6 [3 f& S# f5 O! j
如果一个文件拖入OD 杀软提示了主动防御的提示
4 p) N( m P( d6 {4 M* r/ r1 T" I; C7 q" l9 S5 @% \6 U
我们记下这个文件,删除它," } i p Z8 c. `8 \% X0 i
2 A: P5 Q& }; J, ~6 ?6 R
接着拖入其他文件。。一一确定。。 ]* J _) D4 Z+ X. S! i
{6 _# Y( X8 j6 s( M知道没有提示,我们手动删除掉被提示的文件。。。
8 X- g0 K+ b7 i2 C
; u( K1 r( v1 S5 ~3 R k接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
+ x5 o' E2 K& g8 `' _3 W, e3 g7 p& p8 ? S5 b, a: c9 g5 ?5 C
接着二次处理,重复定位 直到文件长度为2的时候( T2 `$ v/ s, f, `
5 }8 E( E/ A6 R+ x8 P5 o2 V我们久确定了我们木马的主动防御特征码。( `2 h$ G! |6 P6 A( w. L# m
3 D5 B2 l! x9 K0 g7 J) Z
注意,每个杀软的对不同的木马的特征码是不一样的& O% x* P2 a2 E* b$ T3 L
: R, X- n; r3 ?" T0 D
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
