复合特征码辅助定位工具
      MyCCL by:Tanknight
-------------------------------
  自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特征码修改就是说只有你同时改掉程序所有的守护特征码  此程序才不被杀。
  所以本程序的作用是进行多重特征码的定位,并实现自动化。
  载入程序,然后分块写10(刚开始应先少数量划分,先确定大范围)。起使位置最好写代码段code,或者txt然后程序会把代码段分成10块,然后从第1块开始恢复,并生成文件。生成完毕后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话,可以在杀掉第一个文件的时候就停止杀毒,此时特征码已经找到)。然后点击[二次处理]程序会自动记录第几个文件开始查到毒了,那个就是第1个特征码。程序会把有特征码的地方添0 并记录在右面,然后把后面的文件分10块开始从头恢复。这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。
  因为分为10块所以每块都比较大,这时候需要进行精确。在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。
  关于内存复合特征码定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。找到报毒的文件,然后手工删除或者在特征码设置中手动添加即刻。其余操作和文件定位相同。
以前我们定位特征码都是应用CCL这款软件,对于特征码免杀来说确实很方便,但是随着杀毒软件的技术更新,我们所生成***的特征码不再是单一的,而是多区多段,比如以前我们用OD可以一半一半法定位特征码,但是现在,你把所有区段都NOP了,也是查不出来特征码的,为什么呢?因为现在的杀毒软件都是把文件特征码和内存特征码混在一起,并且设定的特征码位置比以前多了很多,并不象以前只是把特征码定位在CODE里而且只有一个。例如:
PE文件 节表信息  这个是黑防灰鸽子的客户端共有8个区段            
文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位内存组合包)\Server.exe
  节名称        起始位置        物理长度     
  CODE          00000400        000A1200  以前特征码多数在这个区段,并且只有一个
  DATA          000A1600     00002C00  现在的特征码有很多处。
  BSS           000A4200     00000000   
  .idata        000A4200     00003400
  .tls          000A7600     00000000
  rdata         000A7600     00000200
  .reloc        000A7800     0000A400
  .rsrc         000B1C00     00008200
首先,我们要知道现在的杀软,以瑞星查杀内存是最厉害的,瑞星内存免杀能过的话,其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软,对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。有的朋友错误的认为,给***加壳、加花、加密,这样文件(表面)免杀了,然后再用这个查找内存特征码,这样理解是错误的。
现在我们开始进行黑防灰鸽子的文件特征码定位查找:
  首先我们要生成一个无壳的鸽子客户端,我已经生成好了。打开MYCCL复合特征码定位器软件,把我们要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
区段        开始位置        分段长度
CODE        00000400        000A1200 
95%的特征码都是在这个区段里。
  正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
[特征] 00092E3D_00001DB3
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
这里一共有3大段,我们看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?我们继续。使它更精确一些。
  选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
  刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有要说明的是我们的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样我们就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是我们所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
[特征] 000949A7_00000002
[特征] 00094B3D_00000002
[特征] 000973E9_00000002
[特征] 0009CBBC_00000002
[特征] 0009F5A6_00000002
[特征] 000A0A46_00000002
[特征] 000A0DD2_00000002
[特征] 000A1250_00000002
[特征] 000A12A2_00000002
我们测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置,偏移量是2个字节,我们用0填充,为了节余时间,其他的你们填充吧。看到了,修改正确。

转载于:https://blog.51cto.com/suguiyang/269779

MYCCL复合特征码定位器及其使用教程相关推荐

  1. MYCCL复合特征码定位器简介

    复合特征码辅助定位工具 MyCCL by:Tanknight . 前言 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特 ...

  2. MyCCL复合特征码定位系统3.0 build 23 中文绿色版

    MyCCL复合特征码定位系统介绍 这是一个主要定位木马病毒的特征码的工具. MYCCL是CLL的改进版,可以进行多重特征码的定位,针对金山等杀软的反向定位等功能,并实现自动化代码定位和显示. mycc ...

  3. MYCCL特征码定位器详细使用之内存定位

    上次我们详细讲解了MYCCL特征码定位器的文件特征码定位,这次我们详细讲解内存特征码的定位. 内存特征码定位前,我们必须要对木马的文件特征码进行特征码查找并用0填充免杀,然后才可以进行内存特征码的查找 ...

  4. MYCCL特征码定位器的详细使用

    原文连接:http://hi.baidu.com/%BA%CE%B3%C9%B8%D5/blog/item/080ebd09b04d8e206b60fb21 .html MYCCL特征码定位器的详细使 ...

  5. HackSky复活无特征码免杀全套教程(本教程主要分为三部分)

    HackSky复活无特征码免杀全套教程(本教程主要分为三部分) 下载地址 https://pan.baidu.com/s/1y77oiff8qzFjQdDBYkeBug 创业资料/视频资料/安全相关 ...

  6. myccl初次使用(zz)

    修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀.给木马加壳.加花.加密,这样文件(表面)免杀了,不等于文件特征码免杀. 操作步骤 ...

  7. 病毒特征码定位原理和首次使用MyCCL

    一 什么是病毒特征码 特征码就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒.每个杀毒软件公司都有自己的特征码提取方法和提取工具,这也是特别需要技术的地 ...

  8. MyCCL特征码定位原理学习

    这段时间学习WEB方面的技术,遇到了木马免杀特征码定位的问题,这里做一下学习笔记. 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后,文件列表是这样的. 注意这里 ...

  9. 【转】RFire系列免杀教程

    RFire系列免杀教程第1到20课 RFire系列免杀教程, 木马免杀 文件名称:       [原创]RFire系列免杀教程第1课.rar 文件大小:       41.16MB 文件类型:     ...

最新文章

  1. 计算机考研最后四十天,2021考研最后四十天冲刺复习攻略
  2. 重启centOS丢失nginx.pid导致无法启动nginx的解决方法
  3. 占用过高_Windows10电脑磁盘占用率过高,用这二招轻松解决
  4. 汇编编程计算机流程图,汇编程序怎么做流程图?
  5. 2018年第九届蓝桥杯 - 国赛 - C/C++大学B组 - B. 激光样式
  6. Oracle 11g DRCP连接方式——基本原理
  7. Java最大公约数和最小公倍数的求法(辗转相除法)
  8. 剑指offer 答案 python_【剑指offer】【python】面试题2~5
  9. css3禅密花园叫什么名字_CSS秘密花园: 自定义下划线
  10. visual studio开发工具的C#主流控件属性一览表
  11. Git Your branch is ahead of ‘origin/master‘ by X commits解决方法
  12. w3school JavaScript笔记2 ——JavaScript HTML DOM
  13. 两种储能器件 电容和电感 课堂笔记
  14. uniapp遇到后台返回base64码格式图片没有显示出来
  15. matlab和opencv混编(mex问题,mexopencv问题)(水下相机折射补偿:Pinax-model)
  16. Git LFS(Large File Storage)使用简介
  17. 支持DoH的DNS服务器,Win11 支持私密 DNS-over-HTTPS(DoH) 附启用教程
  18. 根据当前日期进行以下方面的处理: 1、取得日期的年份、月份、天、时、分、秒,并转换成大写日期格式 如:2013年8月17日 20时30分20秒 2、根据日期的不同时间段,做问候语: 早上8:00-12
  19. 计算机组成原理 之 计算题、分析题 题解详细总结(已完结)
  20. 科创学科相关大赛统计2021

热门文章

  1. 中国乡村振兴论坛:腾讯安心平台成数字兴农的优秀样板
  2. makefile编译
  3. 基于微信小程序的二手交易平台系统
  4. 帧中继点到多点子接口
  5. Ubuntu 系统 USB转串口
  6. 分分钟学会 JS AST,打造自己的编译器
  7. 方维分享系统二次开发,tip.htm,修改调用的当前用户的信息
  8. 开放银行发展趋势:小程序技术为银行带来了哪些机遇?
  9. 小程序游戏,虚拟支付、微信社交关系链均可实现
  10. 【CCM-计传阅读树04】论文《UGC内容的流行度趋势和峰值的预测研究》