扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
木马的特征码的大概范围知道以后,点击MYCCL主界面中的“特征区间”按钮,在出现的“填充/特征码 区间设定”窗口中,选中刚刚找到的那段大的特征码以后,选中右键中的“复合定位此处特征”命令。然后对特征码继续进行分块等进一步的操作,最终得到特征码精确的文件地址00061BAF_00000002(图2)。
图2
由于《QQ医生》是通过内存特征码进行查杀,而00061BAF_00000002这个地址只是特征码的文件地址,而当木马加载到系统内存后地址就会发生偏移,因此我们还需要将它转换为内存中的地址。
运行“偏移量转换器”,首先通过打开按钮设置木马程序的路径,接着在“文件偏移”中输入特征码地址,点击转换按钮在内存地址中得到特征码的内存地址(图3)。
图3
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者