返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
: h3 }8 I. A  K3 B# V& R" V6 M" ?4 i. v2 F1 A5 O' p3 ~& z0 k
现在分享出来。。。
3 `4 {0 x) _* Y3 c/ Y5 g( u, O2 E
2 s$ H% ]1 {# B* X) L工具:myccl.OD
( n- I6 m/ T( @7 q. U6 G7 u1 R) y/ P! f
免杀必备的工具哦
5 F) t1 t3 b( j7 w1 R6 H/ _6 W  h6 S" v3 y1 z( j) b5 |
用myccl分块文件。。。尽量少点   比如  10块
$ R9 }! y+ |  _+ u5 ]
& s1 n/ F( p  t9 b9 ~, L* X打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)/ g3 K& M5 B  V0 H

) O6 O, n! e$ P$ f/ r好了,这个时候会提示文件无法运行的窗口,' c. ]* N# `1 j: k: p% I' p
4 U/ u+ e4 Q. V& Z5 j2 Y0 a* h
我们不管它,直接确定。。6 @2 T7 S# ~; \( [+ L
4 D9 ~% z5 I) n' u& O# D3 D
如果一个文件拖入OD 杀软提示了主动防御的提示
* O. _( a# _- Y/ `+ N/ d$ n+ I6 ^( w: W7 ^
我们记下这个文件,删除它,3 Z- O3 k( N% t

5 h3 Q1 c4 ]7 y5 `3 W, ^接着拖入其他文件。。一一确定。。
; _. k0 H0 }" I2 j! N' Y. g+ T7 R; j/ R2 ^; z. ~! [
知道没有提示,我们手动删除掉被提示的文件。。。
- N* q1 o# D# z$ U3 d! k8 W" M! x+ u& T; }# g
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
4 u1 g3 n5 R7 }: J# b: ^. h3 P8 f1 J: B. {' s) B* r# {  p7 N
接着二次处理,重复定位   直到文件长度为2的时候* Q: S1 e+ O3 j9 Z5 q* E( S

$ z7 g6 C5 D( N5 e2 \% N1 F" P7 f我们久确定了我们木马的主动防御特征码。  B, y/ H7 y* j. g2 B) D

3 s2 e, C9 K4 E, G% E' A7 n1 I" t! }注意,每个杀软的对不同的木马的特征码是不一样的3 D5 F) r/ {# P# Y: P

& l0 D6 C5 z' l$ q) L0 j' u我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  " c" X  H( h9 k, \4 Q( X% M
   本人是免杀菜鸟。。。。1 U  P% U% d1 V  p# V, l  h" l, n$ D

# J, y4 G0 L) h[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表