返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。2 G. E" ?: \+ K/ _

( M& W& k' g( [现在分享出来。。。
- R! `% R& F0 q; X4 P( z& z5 R3 N$ E3 I( g7 r  _
工具:myccl.OD
1 e) f3 l0 ~3 I: N4 W2 B1 H' _8 E( b* I2 g3 y7 @& ]
免杀必备的工具哦
6 I) h' g7 {1 M# @0 l$ i0 l2 w; ]0 _% a6 L! U& F- D/ ^  j
用myccl分块文件。。。尽量少点   比如  10块3 _" t, I- M# P9 s) p1 X
0 d1 ^7 |2 R! ?6 h* a
打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
% u4 U$ U  _, k" e5 i9 j" i8 a
9 X5 r. W/ U% o" `, L好了,这个时候会提示文件无法运行的窗口,* o6 I, |; V: z& O8 }

' R, `& X$ p- V5 m( C( A我们不管它,直接确定。。; N  J( i; V& i4 g

6 H3 _# }( a( p0 u% q" ?4 Y: p如果一个文件拖入OD 杀软提示了主动防御的提示6 j# [! A/ b) e
1 K& D$ u- e. [8 Y! a1 K- Q1 X
我们记下这个文件,删除它,
* r- S) y3 }& l
6 `, a: g0 y7 T% S( `* T" _0 L% x接着拖入其他文件。。一一确定。。1 |/ M3 z: z$ d
% T3 h4 V: P" c# o2 ^( Y7 u
知道没有提示,我们手动删除掉被提示的文件。。。
8 o9 p% X( c/ \( W
, u! E, O; E% \) a接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件" z2 H% g9 w3 _) `" l+ S
" c& }3 w' r. n) p5 m
接着二次处理,重复定位   直到文件长度为2的时候; @& P) O6 U6 z: A/ x1 {3 c
3 y7 d, O0 @( T, a
我们久确定了我们木马的主动防御特征码。# o0 Q5 w: p' ?2 Y
! D9 |* z! N/ s$ \) G9 x
注意,每个杀软的对不同的木马的特征码是不一样的
1 f: L  x- O; i8 E% `* Y8 `; ^
' V1 x  e0 N# A' O% ~/ H我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  * r& ~. K- J5 m/ g+ i6 _( C/ x
   本人是免杀菜鸟。。。。
3 _& E4 _% r$ E4 {4 a4 l8 H$ S
, ^+ ]# Z$ I4 m9 l. g+ |$ R[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

谢谢咯

TOP

.m (40). 好像有点懂了。。。

TOP

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

返回列表