标题:
[原创文章]
定位木马的主动特征码
[打印本页]
作者:
1335csy
时间:
2009-3-2 14:02
标题:
定位木马的主动特征码
自己的一些平常用的定位主动防御特征码的方法。。
! Q+ C) B+ A* c/ |9 |5 k! @
! V6 T$ ~$ M# Y1 p
现在分享出来。。。
/ E5 U j/ v, I9 f
5 y! k3 s& Q( [1 T+ {8 |5 G1 m
工具:myccl.OD
7 A# e" E+ p4 d. W5 T
8 U8 p9 O$ q6 e$ }; m; k. `1 A
免杀必备的工具哦
# @, i W4 H. J. V6 }
$ j# L" b+ n: J) x
用myccl分块文件。。。尽量少点 比如 10块
. v4 {( `& r# y! K- e) L: Y+ D) ?
* f4 j2 E% ?) U: b1 g' k8 f: C
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
) ?" u" o3 g. L# n7 `
+ c7 z' n: ?: B3 F) l3 t! o
好了,这个时候会提示文件无法运行的窗口,
( Z5 F' e- y3 n; s# B" x
( d/ H1 y C' w3 H
我们不管它,直接确定。。
0 R# H u. R) Z3 X7 k
3 w2 r' z$ @( L
如果一个文件拖入OD 杀软提示了主动防御的提示
8 f" U, b* U* N7 {5 ?
* v$ m- `/ Y% u& s& u& ?. [. X' N
我们记下这个文件,删除它,
1 Q. l6 m# X' H4 o' M+ I. D/ r
/ I! Z0 v/ ?/ n# h- h( ]
接着拖入其他文件。。一一确定。。
5 g, ]" @) N4 B8 \$ b
- g+ t8 K9 P7 u k' \; P5 D
知道没有提示,我们手动删除掉被提示的文件。。。
8 g( s' r# x G7 c
% p) U6 f0 Q0 c, @
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
4 O5 F# h$ ~8 N0 l8 O
5 E) j) r: R$ t7 w6 i9 A
接着二次处理,重复定位 直到文件长度为2的时候
) h1 U/ V: z6 s, P, N, f2 j' @ S
, L! l8 _7 O7 A) r" ]1 p+ o& |
我们久确定了我们木马的主动防御特征码。
9 ?. [# _+ b. M- J% K7 y. g
' X7 u4 ?2 K% V' _
注意,每个杀软的对不同的木马的特征码是不一样的
3 `7 c: n! N, h/ P
) _3 H6 v; L1 v' a) l4 K
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵
作者:
278835491
时间:
2009-3-2 14:08
为什么不用杀软直接删除呢?一个一个拖不是很费事吗?
2 S& s' k2 B/ r+ U0 f6 ?/ {7 Q
本人是免杀菜鸟。。。。
! v) o9 j, K. C+ n' ~
0 z! d4 K, _ u" w
[
本帖最后由 278835491 于 2009-3-2 14:09 编辑
]
作者:
柔肠寸断
时间:
2009-3-2 21:26
谢谢咯
作者:
闲逛
时间:
2009-3-3 11:21
.m (40). 好像有点懂了。。。
作者:
hilarylove
时间:
2009-3-3 14:32
这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2
