返回列表 发帖

[原创文章] 定位木马的主动特征码

自己的一些平常用的定位主动防御特征码的方法。。' G4 M7 N  G$ x7 c( p- e

* ]- L- y, m7 a' b7 j现在分享出来。。。% Z) A) G" A; u) W5 T! A8 p3 a
' A- z! [( i* Z
工具:myccl.OD3 Y) N! Y4 |/ E4 C* l8 W: W$ {& c# Y
% e  K0 i, M/ e
免杀必备的工具哦
9 b3 J9 `9 l' M5 T: a" m- S7 D+ @# i4 O! `  i
用myccl分块文件。。。尽量少点   比如  10块
& T: ~- k5 F  ~( m) Z. {: S7 U3 |
. e7 }: d. ?0 {# G5 d3 }# J; d打开文件夹   一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
' p. R5 H6 h' H% P( {7 U( n3 I. @1 F4 x% Y
好了,这个时候会提示文件无法运行的窗口,
4 m/ K  P7 ]% H
, j; S- J& ]$ g$ ?$ c. t我们不管它,直接确定。。
$ p1 H' f" g4 [1 m. b$ L7 C3 ^+ b
如果一个文件拖入OD 杀软提示了主动防御的提示4 X9 _# S+ Q: r, ?! x

9 t' |4 X; L* I; t" J1 C我们记下这个文件,删除它,0 \; L9 K/ l  ^

; p) f3 P4 @& |6 r$ a7 o4 Z4 {接着拖入其他文件。。一一确定。。
' g* p. q7 n0 D2 q1 I7 J- K: Y) s  E" W$ ~- D* n
知道没有提示,我们手动删除掉被提示的文件。。。' X( h& a, h; l

+ C" q) v" V/ K" }6 @. n接着二次处理,再一一拖入OD   再按照上面的方法  一一确定文件
# L7 c. y1 u9 [5 w7 |# C  ~1 k/ `( p% C. U& q
接着二次处理,重复定位   直到文件长度为2的时候7 D4 c& c; i3 r+ g; `& h5 U6 o

2 I% ~1 ]1 B! |# j& a我们久确定了我们木马的主动防御特征码。
) z  u& b: e8 p2 m! H0 h; p% V7 x- W0 `( a& y
注意,每个杀软的对不同的木马的特征码是不一样的5 i6 i" S" V( C) g$ H

/ n9 z$ |8 Z7 \9 }7 f. j  [我相信 知道定位表面特征码的朋友一看就知道了。。。  呵呵

这些很早就懂了。不过真的要操作起来,不会的人可能会走很多弯路。
花前月下,不如花钱“日”下~~~

TOP

.m (40). 好像有点懂了。。。

TOP

谢谢咯

TOP

为什么不用杀软直接删除呢?一个一个拖不是很费事吗?  1 N* b( J5 c5 R  ?1 \# C" s+ v, `
   本人是免杀菜鸟。。。。  \: y* O* [& U% T& Y
) Q* E. p6 Q/ t; @% z  d/ A; G. I
[ 本帖最后由 278835491 于 2009-3-2 14:09 编辑 ]

TOP

返回列表