|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
& i# P z$ P: j, V5 R* G4 t% p6 ~6 O9 [& D! @5 f
现在分享出来。。。7 n8 \/ |+ ?1 k+ N
% [- F! ?7 U: h# l工具:myccl.OD
3 i( v: n% I/ D( M3 ^' P7 i
9 p6 O6 O; |4 M% G8 Z免杀必备的工具哦 - b7 U1 s5 ]% z/ ^6 G
9 e9 j6 [) ~- |! ?" f用myccl分块文件。。。尽量少点 比如 10块
& B, b3 e) c0 N f! T2 z- y" R. E% a8 {! b4 A" C
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
8 N2 h9 Z% s" E) o9 S
" h% C0 [6 [( p8 W& k' D好了,这个时候会提示文件无法运行的窗口,% f. s( D0 i9 O& k" {
- x. A3 r' M2 k3 d. k0 P( `' L我们不管它,直接确定。。
0 `$ B/ j: u: w- w. u+ B
0 _2 _3 J: D5 B" Q如果一个文件拖入OD 杀软提示了主动防御的提示
5 V. o$ `# |7 z) U& p; o9 u$ G
" x- n5 t7 B& y( [/ o3 n8 L7 v- z我们记下这个文件,删除它,7 I2 S: m" p: m0 o5 U/ z
W! W9 {% p0 Z* h接着拖入其他文件。。一一确定。。
- A2 z5 n. Y) Q: {6 |7 y9 d$ ^, \$ U8 G9 Y, W! K
知道没有提示,我们手动删除掉被提示的文件。。。5 a3 R( j$ u- S9 {" ?) J- }4 g
2 U( o8 T2 O) b/ k+ k; ]$ ?0 N接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
8 A% ?" |0 `' P$ U' P" g6 l1 o7 b/ j9 ~! T) ]% O& C! }5 d! F9 U/ S& @
接着二次处理,重复定位 直到文件长度为2的时候
: c6 U1 t' P* a3 G3 j! C6 n% p6 W+ o8 Y# u0 C+ m
我们久确定了我们木马的主动防御特征码。
! A& Y F' U# ~5 e4 `
$ h% h i3 J7 ]3 Y' A6 x注意,每个杀软的对不同的木马的特征码是不一样的2 e+ \8 A4 K, F3 p# ^2 r
9 a# E% }. r0 }" x9 g: g& W) l6 b
我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
