大家好,我是marlin,今天是第2次发教程,上次那个技术含量太低了没被录用,今天这个也没什么技术含量,但是我认为却对菜鸟非常非常实用!——黑防鸽子定位瑞星特征码——走出“经典教程”的误区。
按“经典教程”方法,用myccl对code段分块然后查毒,不管分成多少块都全部被杀...因为这,一个多星期了都没定位出黑防鸽子的瑞星特征码,找了个“高手”,向他请教,他竟然说要想知道原因,要我交100块学费!靠!你说收个徒弟100块也就罢了,请教这个一句话就能回答出来的东西也收我100,掉钱眼里了!
这么一搞,我决心自己找出原因,最后终于发现原因只有一个,走进了“经典”教程的误区!象教程一样在定位时只定位了Code段,导致无论生成多少块都是被杀光杀净!想必还有很多朋友和我遇到的情况一样,所以今天在终于找到原因后,决定发个教程,向权威经典教程挑战。
正确方法是:全部代码段同时定位!而不是象经典教程那样只定位Code段!否则哪怕分成1000块也被杀完!
先看下“经典”教程的方法~“开始位置”填Code段的开始位置,“分段长度”填Code段的分段长度,分成100块(头次就分成100已经够多了,你不信可以分1000块看看,结果也一样全被杀)。
全部被杀!因为这方法实际只对code段进行了定位。这样根本就没法继续二次处理了。
再看下现在的方法~“开始位置”填Code段开始位置,其它保持默认,因为在myccl载入鸽子时,分段长度已经填好了整个程序的长度,结束位置也已经自动生成了,这样其实也就是对整个程序,也就是所有代码段都进行定位。分块个数仍然分成100。
没有全部被杀~继续二次处理~查到的毒数量再次减少。
中间的省略,因为定位时间较长,所以先暂停一下,方法就和“经典”教程一样了。
...
最后找到的特征码如下:
特征码 物理地址/物理长度 如下:
[特征] 00094B3E_00000001
[特征] 000973EA_00000001
[特征] 0009AB3C_00000001
[特征] 0009CBBC_00000002
[特征] 0009F5A7_00000001
[特征] 000A0A46_00000002
[特征] 000A0DB8_00000002
[特征] 000A0DD2_00000001
[特征] 000A1250_00000001
[特征] 000A12A2_00000002
[特征] 000A12A8_00000002
[特征] 000A14C3_00000002
[特征] 000B2872_00000001
[特征] 000B289B_00000002
[特征] 0008B425_00000001 (最后一个是从2007-6-4升级到2007-6-9发现的瑞星新特征码)
找到了代码,填0看看是不是瑞星表面特征码~
填0后没被杀,说明这才是正确的方法。
当然对于其它木马,只定位code段就可以了,因为黑防鸽子被瑞星盯太紧,特征码不止在code段出现,所以才全部定位的。
因最近工作辞了,在家挺清闲,想收徒弟,主要是传授木马呵呵,是收费的哦~看起我的请加群:19176735,请注明“木马
培训班报名”,详见
http://marlin.seawww.cn(临时
空间,如果关闭请直接加群)。
希望大家在看别人的教程后也多想多做,早日走出“经典”教程的误区!
