MYCCL复合特征码定位器及其使用教程
复合特征码辅助定位工具
MyCCL by:Tanknight
-------------------------------
因为分为10块所以每块都比较大,这时候需要进行精确。在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。
关于内存复合特征码定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。找到报毒的文件,然后手工删除或者在特征码设置中手动添加即刻。其余操作和文件定位相同。
节名称 起始位置 物理长度 CODE 00000400 000A1200 以前特征码多数在这个区段,并且只有一个 DATA 000A1600 00002C00 现在的特征码有很多处。 BSS 000A4200 00000000 .idata 000A4200 00003400 .tls 000A7600 00000000 rdata 000A7600 00000200 .reloc 000A7800 0000A400 .rsrc 000B1C00 00008200 |
首先我们要生成一个无壳的鸽子客户端,我已经生成好了。打开MYCCL复合特征码定位器软件,把我们要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
区段 开始位置 分段长度 CODE 00000400 000A1200 |
正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
[特征] 00092E3D_00001DB3 [特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919 |
选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
[特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919 |
特征码 物理地址/物理长度 如下:
[特征] 000949A7_00000002 [特征] 00094B3D_00000002 [特征] 000973E9_00000002 [特征] 0009CBBC_00000002 [特征] 0009F5A6_00000002 [特征] 000A0A46_00000002 [特征] 000A0DD2_00000002 [特征] 000A1250_00000002 [特征] 000A12A2_00000002 |
转载于:https://blog.51cto.com/suguiyang/269779
MYCCL复合特征码定位器及其使用教程相关推荐
- MYCCL复合特征码定位器简介
复合特征码辅助定位工具 MyCCL by:Tanknight . 前言 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特 ...
- MyCCL复合特征码定位系统3.0 build 23 中文绿色版
MyCCL复合特征码定位系统介绍 这是一个主要定位木马病毒的特征码的工具. MYCCL是CLL的改进版,可以进行多重特征码的定位,针对金山等杀软的反向定位等功能,并实现自动化代码定位和显示. mycc ...
- MYCCL特征码定位器详细使用之内存定位
上次我们详细讲解了MYCCL特征码定位器的文件特征码定位,这次我们详细讲解内存特征码的定位. 内存特征码定位前,我们必须要对木马的文件特征码进行特征码查找并用0填充免杀,然后才可以进行内存特征码的查找 ...
- MYCCL特征码定位器的详细使用
原文连接:http://hi.baidu.com/%BA%CE%B3%C9%B8%D5/blog/item/080ebd09b04d8e206b60fb21 .html MYCCL特征码定位器的详细使 ...
- HackSky复活无特征码免杀全套教程(本教程主要分为三部分)
HackSky复活无特征码免杀全套教程(本教程主要分为三部分) 下载地址 https://pan.baidu.com/s/1y77oiff8qzFjQdDBYkeBug 创业资料/视频资料/安全相关 ...
- myccl初次使用(zz)
修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀.给木马加壳.加花.加密,这样文件(表面)免杀了,不等于文件特征码免杀. 操作步骤 ...
- 病毒特征码定位原理和首次使用MyCCL
一 什么是病毒特征码 特征码就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒.每个杀毒软件公司都有自己的特征码提取方法和提取工具,这也是特别需要技术的地 ...
- MyCCL特征码定位原理学习
这段时间学习WEB方面的技术,遇到了木马免杀特征码定位的问题,这里做一下学习笔记. 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后,文件列表是这样的. 注意这里 ...
- 【转】RFire系列免杀教程
RFire系列免杀教程第1到20课 RFire系列免杀教程, 木马免杀 文件名称: [原创]RFire系列免杀教程第1课.rar 文件大小: 41.16MB 文件类型: ...
最新文章
- 计算机考研最后四十天,2021考研最后四十天冲刺复习攻略
- 重启centOS丢失nginx.pid导致无法启动nginx的解决方法
- 占用过高_Windows10电脑磁盘占用率过高,用这二招轻松解决
- 汇编编程计算机流程图,汇编程序怎么做流程图?
- 2018年第九届蓝桥杯 - 国赛 - C/C++大学B组 - B. 激光样式
- Oracle 11g DRCP连接方式——基本原理
- Java最大公约数和最小公倍数的求法(辗转相除法)
- 剑指offer 答案 python_【剑指offer】【python】面试题2~5
- css3禅密花园叫什么名字_CSS秘密花园: 自定义下划线
- visual studio开发工具的C#主流控件属性一览表
- Git Your branch is ahead of ‘origin/master‘ by X commits解决方法
- w3school JavaScript笔记2 ——JavaScript HTML DOM
- 两种储能器件 电容和电感 课堂笔记
- uniapp遇到后台返回base64码格式图片没有显示出来
- matlab和opencv混编(mex问题,mexopencv问题)(水下相机折射补偿:Pinax-model)
- Git LFS(Large File Storage)使用简介
- 支持DoH的DNS服务器,Win11 支持私密 DNS-over-HTTPS(DoH) 附启用教程
- 根据当前日期进行以下方面的处理: 1、取得日期的年份、月份、天、时、分、秒,并转换成大写日期格式 如:2013年8月17日 20时30分20秒 2、根据日期的不同时间段,做问候语: 早上8:00-12
- 计算机组成原理 之 计算题、分析题 题解详细总结(已完结)
- 科创学科相关大赛统计2021