|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
! {5 Z( n* W/ i" V0 Z
# S% |: ^. @! P3 p1 C现在分享出来。。。
% @5 w t' q' H( t* c' @5 ~" k
& P/ z5 b6 m; E" O. w# z工具:myccl.OD
; p6 m. f+ [2 j1 u$ y% A0 }, Q
6 Z$ f! v$ c" [+ V) @免杀必备的工具哦
z" I' u1 T, d) y8 S; x: l! ~
3 |' p) v2 V& w) ~7 `8 v# M用myccl分块文件。。。尽量少点 比如 10块% t* ^+ U0 q; P3 p
7 X) w5 l2 F. T, r打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了) ]7 K' C0 K1 }! j
1 f& h+ s6 [* x: g: K1 K6 r Z. s' w好了,这个时候会提示文件无法运行的窗口,
$ o6 K- K% J: g8 R
7 e$ v9 `/ J" K* ~/ \6 l, g我们不管它,直接确定。。
1 ?* K+ I+ j% P$ e- p4 Z
1 @8 V5 d3 U/ p0 J! c1 ~如果一个文件拖入OD 杀软提示了主动防御的提示$ j6 A- ?% \% i) e6 c" V! h9 Z
3 i# O' l9 B* b* J2 o" l4 g1 o
我们记下这个文件,删除它,
) ^( D0 t7 o$ Y6 l l" A% ?- J0 p# g4 e, y
接着拖入其他文件。。一一确定。。8 l+ D3 R' I( o0 l! F2 C
( {5 }( r9 {( y8 {3 F! \知道没有提示,我们手动删除掉被提示的文件。。。) f* h x4 {. ?& T% g2 B
4 q, n* j! ~2 ^ }接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
( K) M- D: o+ A: G Z8 {6 z( s! ]% \6 |# n* M. y: ?( j4 Z9 }
接着二次处理,重复定位 直到文件长度为2的时候
2 ^3 j7 U) y# k ?) {4 L9 a! s- A! U' @/ P% L
我们久确定了我们木马的主动防御特征码。
# G" e. V0 n0 f6 O4 i3 ~3 `0 w$ D3 p
注意,每个杀软的对不同的木马的特征码是不一样的5 ]' x& Q5 Z* G7 V
5 t w8 t* k3 W
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
