标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
2 T8 F3 c& X, A8 Z& e3 E/ w
' _, _( `; |" ]7 i
现在分享出来。。。
+ Q6 n6 J: L7 V( J& Q: `
$ r+ o3 ]4 E, D9 R8 v3 z
工具:myccl.OD
* {! L! ]' ]8 N: T0 f; J: F ]! k
; S' G" j* Z; j8 r0 E4 T* C
免杀必备的工具哦
- i& n+ c3 M2 c/ L% M
h& G" g v5 }+ S
用myccl分块文件。。。尽量少点 比如 10块
4 N0 ~' V, C) |; D3 |* K5 P
( l# h8 M3 t; d8 a1 S3 y
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
* @( h( h, k7 [& \ M! r+ v+ D
2 Y& W% |+ w; A9 B) r
好了,这个时候会提示文件无法运行的窗口,
* d6 Q' n) @) T- f# a% V# `
% R+ W; U1 w: P- O# X! Q+ T% c
我们不管它,直接确定。。
; K( ~) H( C- y, |0 |5 a
3 }4 o4 g3 _ E) Z2 j: U
如果一个文件拖入OD 杀软提示了主动防御的提示
{) }1 B+ @. \" W7 Y+ J2 L7 Q
; f, v+ B Y9 B/ z& D$ b2 B5 o
我们记下这个文件,删除它,
) ~# ~) Y5 z- k5 h
- W0 G7 S% D1 Q& [
接着拖入其他文件。。一一确定。。
4 `; L1 ?, D, s0 E: o- H
0 p3 L2 }) e6 v6 R: L; ~) o! r
知道没有提示,我们手动删除掉被提示的文件。。。
8 q& J/ {! ^& Z. T, n
) U; H' C8 V8 E: q
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
m1 q0 J, a* U' W" g( ]
* L8 y. @: \" Z' U0 H* S3 M
接着二次处理,重复定位 直到文件长度为2的时候
+ w( ~$ m; n8 T8 D4 M5 [; O
; A% u" H. X3 \4 @0 H
我们久确定了我们木马的主动防御特征码。
0 g. ]' h5 C% m6 P" C
- _2 Z* p' v3 s8 F/ O
注意,每个杀软的对不同的木马的特征码是不一样的
7 z3 ?1 O0 B& ]" k2 z7 L ?5 }
- ?9 t7 P" c4 v) t; H
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
- \# D! \5 {; G% X% X+ ^6 o
本人是免杀菜鸟。。。。
) s4 R" L9 t. d
& W! r. ]. E- ]
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2
