|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。$ k+ I9 o) n# t
: g5 g7 j" @$ V$ H
现在分享出来。。。( f8 L& n' D7 E/ \- D4 h( @" `8 |
/ O% W2 H, X; @* T5 Q8 N6 @6 V; ~工具:myccl.OD
" N6 r& @0 S2 @7 ^8 o: @: q* T7 Q- B' f9 W k3 v$ k! K) P1 A
免杀必备的工具哦
( s7 v# x/ x4 Q& J) Z$ }/ _8 z" z0 F) ]8 @* P; P+ B
用myccl分块文件。。。尽量少点 比如 10块
6 t3 U' ^( [2 H$ ]1 b& r: X7 _( t2 z9 U: ~" ^( P0 a% ]! x3 G
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
8 ^9 s6 J! B8 f8 a; b0 x. R5 @1 X! U9 ^1 q& c7 }3 O* K! a
好了,这个时候会提示文件无法运行的窗口,
% ~# N5 p6 v0 S# J6 m! B- }9 m1 Q1 G! o n( Y
我们不管它,直接确定。。# ~9 S! L7 a+ G1 k' i L
5 S, F6 ~9 c) J# p0 h( l6 J! U3 O
如果一个文件拖入OD 杀软提示了主动防御的提示4 J7 |' V" f" D. q
* |4 g, W! S, r我们记下这个文件,删除它,4 Q; P( V2 ] [0 H/ h/ c; M
% U+ [7 P5 }! k- C3 P3 T接着拖入其他文件。。一一确定。。/ \0 T% [; R% ^! a6 S/ y
. }7 e6 u p) ^" c
知道没有提示,我们手动删除掉被提示的文件。。。
3 W: t+ d# s4 [9 Q& m# d+ ]/ x: H* J! Q" Z
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件 \7 S4 t, P. m: \
/ n3 m6 w) ?$ s0 A接着二次处理,重复定位 直到文件长度为2的时候) q f2 v# r+ B; |; x. [
6 Z. a; ]1 O& w `9 W/ o% y我们久确定了我们木马的主动防御特征码。5 n; s, [+ S/ J
% T0 `" j3 m- e- y1 f) ^. C注意,每个杀软的对不同的木马的特征码是不一样的
. _4 t8 e' f: k" A
9 j0 _# j5 m, d! M g我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
