|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
/ W5 s5 t* t8 b
7 Q. ?3 d& ^! v. r A! r现在分享出来。。。
# m7 j+ m& b) H1 B4 b$ s6 ~9 p7 ~$ a4 k; V& D
工具:myccl.OD9 ^7 q; q7 O. V0 L( V# w# D
$ s7 N. s0 |3 K
免杀必备的工具哦 - v( G# q& J" d' Y; ], F6 D
: N6 G3 D6 d8 P* d' b! ~( w用myccl分块文件。。。尽量少点 比如 10块. i6 h3 |6 p9 [3 U* e
; N( k! ?+ I) h; |
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
5 O: N6 m6 ?/ L9 m; n- W# t6 V
4 I% d0 h7 p+ m! I: n5 u2 I, v好了,这个时候会提示文件无法运行的窗口,2 i8 U3 l- j$ x( l) }
+ i$ F) N) J, Q! x6 c1 Y4 _2 o
我们不管它,直接确定。。; T3 N/ N0 ^7 f, s- I
: _ w9 Y! S+ ?0 f* `9 P$ ?8 x如果一个文件拖入OD 杀软提示了主动防御的提示
" u6 h$ F! k" j- U
% P- U1 o/ r8 P! J2 K我们记下这个文件,删除它,' `" h: S% g( ~- ]+ g* t
! v! {9 ]' N' Q) \% ~2 i接着拖入其他文件。。一一确定。。
* v! a8 E% L1 r$ T+ E
+ }& s! v& P9 l8 C知道没有提示,我们手动删除掉被提示的文件。。。/ t" o% b" g; i2 k! q8 t
) b0 u% f; m# ?! i3 V
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件 P* B& q: E2 m$ k/ S
# a- E9 m9 h0 y/ b3 J" h; \# a接着二次处理,重复定位 直到文件长度为2的时候' [- D3 e, E- w# Z; s
( J; x' i3 O. F( _/ g' ^我们久确定了我们木马的主动防御特征码。( Q- q: f% q; T. |' O r7 q3 Z$ Y: W
9 y. `6 o S$ M- D& \' l注意,每个杀软的对不同的木马的特征码是不一样的
7 ^9 ^$ H& G0 d+ Y- J) [) X1 C2 S; g5 {- Z
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
