10.1的时候搞站,碰到webshell被杀,然后,听朋友说myccl可以定位webshell的特征码,经过我的测试果然可以定位出特征码,后面和修改PE文件的方法一样,用C32载入,查找特征码的位置,然后修改特征码,注意修改的时候也有一些小技巧的,一般要用替换的方法。这样就OK了。
我修改的是rootkit写的aspxspy,下面就把原版和修改免杀后的打包放出来。
下载文件
刚才看到了我定位的特征码,发出来,大家可以参考!
特征码 物理地址/物理长度 如下:
[特征] 00000EF6_00000014
还有myccl也放出来了,方便大家定位更新后的特征码。
下载文件
我修改的是rootkit写的aspxspy,下面就把原版和修改免杀后的打包放出来。
下载文件 刚才看到了我定位的特征码,发出来,大家可以参考!
特征码 物理地址/物理长度 如下:
[特征] 00000EF6_00000014
还有myccl也放出来了,方便大家定位更新后的特征码。
下载文件 本文由站长原创或收集,不代表本站立场,如若转载,请注明出处:http://www.yesck.com/post/465/
YesCK 
本文 暂无 评论