|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。. Y$ W' X% D9 n1 ^
+ m5 A$ L! H4 ^/ x4 }3 G
现在分享出来。。。, E F* E3 K _3 w
0 W8 X# F) Z" J* V
工具:myccl.OD
$ N2 B6 }! I, \" B( ^7 \) _
- n7 z/ C" k! m免杀必备的工具哦 " W6 ~6 d8 ?0 ^% x0 Q. i1 u
2 _, Y+ S- @+ y) t; n' _8 h1 W
用myccl分块文件。。。尽量少点 比如 10块+ p/ m) S W' |" r8 v' Q) ^( ?
9 y8 T! f- o, Q3 l8 { f打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)5 o, n' X/ |3 P& m: C/ k# X7 v
; B! {% p/ F$ y9 X, H+ V& M2 p6 V3 q+ }好了,这个时候会提示文件无法运行的窗口,' s$ q( ^; p2 h& x9 A4 [4 K# G
9 ^9 I! Z2 F* L5 K7 a- _
我们不管它,直接确定。。( W* ~! [9 U9 Z9 I
) H6 m A7 h, _4 U% T0 a如果一个文件拖入OD 杀软提示了主动防御的提示; v+ M. \. B- }: j+ \3 u
: G2 O0 a0 w6 Q
我们记下这个文件,删除它,% Y/ r% Q! f! K. ^6 w& h
: i C& \0 R) [! ?0 E
接着拖入其他文件。。一一确定。。+ P: S0 K! a7 Q5 ^9 t+ Q2 g3 f
9 e m' a: [8 B( N8 v6 C# w& Y知道没有提示,我们手动删除掉被提示的文件。。。3 Q+ d: J' T% \3 g" ]8 m
) ~4 _6 Z* l! P+ R; s接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件5 C$ s5 W2 ~3 ~- K) l1 |/ J
+ i6 ~& c: e" P+ H* b; n" ]: a: i
接着二次处理,重复定位 直到文件长度为2的时候0 {: C* g7 G L- R
% Y- X: L$ Q! n3 L' c
我们久确定了我们木马的主动防御特征码。
N( C3 O6 ^; N. D
+ A0 a( x7 @1 O [; b, A5 F0 n注意,每个杀软的对不同的木马的特征码是不一样的
3 O/ k( K7 F( M- I
3 D, l$ r/ d; I7 ~8 x) f6 w我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 
