Board logo

标题: [原创文章] 定位木马的主动特征码 [打印本页]

作者: 1335csy    时间: 2009-3-2 14:02     标题: 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。
+ ?# w4 R2 F* ~6 O  O* ^6 x  O* k6 ]' m+ D3 r5 _9 A
现在分享出来。。。
4 b- E& a( d9 r& `* M7 r) w& B" G1 C9 C
工具:myccl.OD" Q- l& Q% g, k$ j. j4 B4 f$ p1 j

9 _1 _  S' E$ J. u- c免杀必备的工具哦
* l7 t9 L% X# n7 z9 L4 I! Y9 G
; F# _  p  Z# n9 K+ E8 R用myccl分块文件。。。尽量少点   比如  10块
& L( U9 S9 l$ m8 S
! n$ u" k) T6 s1 x4 H打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)3 c! W3 B- Y4 ~- @3 e6 J4 b

; a3 h1 Y% J& H1 a' ~3 R' ^! M! a好了,这个时候会提示文件无法运行的窗口,
. j: s0 b1 b7 N4 _% H2 }% N
# r* ~8 S. E4 Y% _3 m# y我们不管它,直接确定。。
9 a  K1 q9 c' j$ a8 F8 D: Q3 [& B8 d( @" N* W. @- ^
如果一个文件拖入OD 杀软提示了主动防御的提示
9 m) _- T3 A. u" X6 J1 X& `
. {3 \, L8 F- d; N1 I& ?) V我们记下这个文件,删除它,
( W& ^8 |  r6 u
* J3 k+ _" h% M/ {接着拖入其他文件。。一一确定。。: c) H( d- V$ G- N# h* R4 y

# p" r4 N. w; p8 D8 R! x, Z知道没有提示,我们手动删除掉被提示的文件。。。7 h, l$ H' @" B0 C( U( F
4 C" B' u* O# d2 m
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件! {8 Q8 O% k6 O" B! _/ e6 ?5 C7 N
) L, M8 ^" |" l& h6 \7 W: ]
接着二次处理,重复定位   直到文件长度为2的时候
7 A/ t. e' i0 E/ l+ `; L& }$ I" c  A7 Y) p; U; L5 ~
我们久确定了我们木马的主动防御特征码。# i, a2 m: r, Y3 U7 N0 ?  W

" _: `. o/ R" q3 h4 j& d注意,每个杀软的对不同的木马的特征码是不一样的& K8 Y+ q7 F: N; _

* g5 B; n% u5 \9 t9 t我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵
作者: 278835491    时间: 2009-3-2 14:08

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  
+ M' m- d& c1 q   本人是免杀菜鸟。。。。
0 F" W! Q1 P2 Q- B, x5 p; J1 J, z' |$ K& d& j6 d/ }/ j
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]
作者: 柔肠寸断    时间: 2009-3-2 21:26

谢谢咯
作者: 闲逛    时间: 2009-3-3 11:21

.m (40). 好像有点懂了。。。
作者: hilarylove    时间: 2009-3-3 14:32

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2