返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。% x! {8 }2 v6 K$ m9 _

( A' j# ^1 K5 F. P现在分享出来。。。* _, l# R5 f+ G( L1 K

# A* i9 [# Y) H1 y( ~工具:myccl.OD- J6 o4 e% |8 L- ~
% C" q1 K/ U* Z
免杀必备的工具哦 9 N. [3 L. B) Z/ g9 Q* V3 z# P

' V; f  O, F  g3 ~- i" N% a用myccl分块文件。。。尽量少点   比如  10块, a- M, D  A  [

( b  h5 S6 r  L# ]# @0 `9 s) `打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
" c/ y  p# f3 E3 W# e( F
, r: _' u& W! x$ W& \& I% w3 N好了,这个时候会提示文件无法运行的窗口,0 M* b( i# F+ ?9 H3 l) Y
; E  v2 S! l* ], K1 C5 U
我们不管它,直接确定。。
% J* k0 X" k3 [* u- m+ ^2 L7 b8 `9 f9 f6 S5 y1 q- A
如果一个文件拖入OD 杀软提示了主动防御的提示
  B4 b$ ]1 H* V- ^& w" Z) }! I, ]  [( ]7 N/ C
我们记下这个文件,删除它,$ M6 c/ ^6 v) |% F

/ e- F- i+ k# d5 A接着拖入其他文件。。一一确定。。  F9 Y+ E' k+ Y; t3 ]  x! k6 K
6 D! _! l0 n0 V" ?6 s( N
知道没有提示,我们手动删除掉被提示的文件。。。% w/ w; b: R8 _  D5 L% D8 K; _
$ q3 B; S, @2 y6 K
接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件4 |7 q0 y! `0 z2 f5 D
" R) z; R& h2 s5 l
接着二次处理,重复定位   直到文件长度为2的时候3 A! ^: q/ C: ~

1 W4 d7 Y1 |: c9 |9 g我们久确定了我们木马的主动防御特征码。! o0 w( T  \# r! X3 i
5 z' [- Z2 `* H, p1 \) }; J
注意,每个杀软的对不同的木马的特征码是不一样的
7 W4 n0 F; g4 B$ J# n. K0 P4 L0 c. {3 l! H
我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

.m (40). 好像有点懂了。。。

TOP

谢谢咯

TOP

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  6 m) }6 j' s* G5 s; H, F& q. P
   本人是免杀菜鸟。。。。
  v- \$ B2 m8 x; T; `* `
+ ~* ^7 o) q  x3 l[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

返回列表