标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
+ ?# w4 R2 F* ~6 O O* ^6 x O
* k6 ]' m+ D3 r5 _9 A
现在分享出来。。。
4 b- E& a( d9 r& `* M
7 r) w& B" G1 C9 C
工具:myccl.OD
" Q- l& Q% g, k$ j. j4 B4 f$ p1 j
9 _1 _ S' E$ J. u- c
免杀必备的工具哦
* l7 t9 L% X# n7 z9 L4 I! Y9 G
; F# _ p Z# n9 K+ E8 R
用myccl分块文件。。。尽量少点 比如 10块
& L( U9 S9 l$ m8 S
! n$ u" k) T6 s1 x4 H
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
3 c! W3 B- Y4 ~- @3 e6 J4 b
; a3 h1 Y% J& H1 a' ~3 R' ^! M! a
好了,这个时候会提示文件无法运行的窗口,
. j: s0 b1 b7 N4 _% H2 }% N
# r* ~8 S. E4 Y% _3 m# y
我们不管它,直接确定。。
9 a K1 q9 c' j$ a8 F8 D
: Q3 [& B8 d( @" N* W. @- ^
如果一个文件拖入OD 杀软提示了主动防御的提示
9 m) _- T3 A. u" X6 J1 X& `
. {3 \, L8 F- d; N1 I& ?) V
我们记下这个文件,删除它,
( W& ^8 | r6 u
* J3 k+ _" h% M/ {
接着拖入其他文件。。一一确定。。
: c) H( d- V$ G- N# h* R4 y
# p" r4 N. w; p8 D8 R! x, Z
知道没有提示,我们手动删除掉被提示的文件。。。
7 h, l$ H' @" B0 C( U( F
4 C" B' u* O# d2 m
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
! {8 Q8 O% k6 O" B! _/ e6 ?5 C7 N
) L, M8 ^" |" l& h6 \7 W: ]
接着二次处理,重复定位 直到文件长度为2的时候
7 A/ t. e' i0 E/ l+ `; L& }$ I
" c A7 Y) p; U; L5 ~
我们久确定了我们木马的主动防御特征码。
# i, a2 m: r, Y3 U7 N0 ? W
" _: `. o/ R" q3 h4 j& d
注意,每个杀软的对不同的木马的特征码是不一样的
& K8 Y+ q7 F: N; _
* g5 B; n% u5 \9 t9 t
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
+ M' m- d& c1 q
本人是免杀菜鸟。。。。
0 F" W! Q1 P2 Q- B, x5 p; J1 J, z
' |$ K& d& j6 d/ }/ j
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2