|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
! ^) y4 y. E6 n
4 l# f0 V; i0 e现在分享出来。。。
3 n. k4 X: \) `/ R# H/ a
+ B3 @+ a, p3 Y$ R2 q工具:myccl.OD: k$ J; b* W/ P n( A4 h
1 [1 {* |1 N: o4 p
免杀必备的工具哦
3 K# B" j, F! q0 o4 L8 c: A/ g
# h1 x/ ^$ a8 w' d& W用myccl分块文件。。。尽量少点 比如 10块* u% A9 f- h. u- e8 p, f/ f
. E' j$ I9 Y; p5 t K
打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
( S# J, Y. }8 ]" t9 d7 k
8 N& l. t" m/ p( a1 ^好了,这个时候会提示文件无法运行的窗口,- @' r1 n( H' M4 w0 m# `
( ]9 _( e" T3 e, e! d' m+ X1 f我们不管它,直接确定。。, B; T5 \, s: p( H4 k) X
* [& d' `, b5 D5 `; E
如果一个文件拖入OD 杀软提示了主动防御的提示0 {- t/ ^% s9 a$ k" j
U+ E/ T3 v q0 T8 u" ^我们记下这个文件,删除它,
' e9 {1 P0 W: N d7 L9 a
* U) v. k/ Y7 e" w5 c1 u/ l' O+ Z接着拖入其他文件。。一一确定。。
1 T: l, q8 j( T$ h+ c4 `! j6 Y) z
/ i* S/ `6 ?* H. r知道没有提示,我们手动删除掉被提示的文件。。。
% a- P7 s* \, R n* A3 {# T7 }$ W* L8 u$ p1 w
接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件
" e6 S+ c' }+ M* H0 c. c( N* _' \; B' ]" ~
接着二次处理,重复定位 直到文件长度为2的时候
! f/ L) J- j$ H5 h$ A" w# G" ^6 h" c! z( `8 P [1 D7 B
我们久确定了我们木马的主动防御特征码。
1 t" D' `1 M( ~1 V
! d3 h9 U0 u+ q8 Q注意,每个杀软的对不同的木马的特征码是不一样的
- r5 F: e3 _, R4 L! I( \$ H
- m, o- f/ L% s1 T4 u% J, J我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 