MYCCL特征码定位器的详细使用
看见不少朋友对MYCCL这款特征码定位器不会使用,所以今天就给大家做一下这方面
的教程。
以前我们定位特征码都是应用CCL这款软件,对于特征码免杀来说确实很方便,但是随着杀毒软件的技术更新,我们所生成***的特征码不再是单一的,而是多区多段,比如以前我们用OD可以一半一半法定位特征码,但是现在,你把所有区段都NOP了,也是查不出来特征码的,为什么呢?因为现在的杀毒软件都是把文件特征码和内存特征码混在一起,并且设定的特征码位置比以前多了很多,并不象以前只是把特征码定位在CODE里而且只有一个。例如:
PE文件 节表信息 这个是黑防灰鸽子的客户端共有8个区段
文件名:D:Documents and SettingsAdministrator.BPLG桌面MYCLL(定位内存组合包)Server.exe
------------------------------------------------
节名称 起始位置 物理长度
CODE 00000400 000A1200 以前特征码多数在这个区段,并且只有一个
DATA 000A1600 00002C00 现在的特征码有很多处。
BSS 000A4200 00000000
.idata 000A4200 00003400
.tls 000A7600 00000000
rdata 000A7600 00000200
.reloc 000A7800 0000A400
.rsrc 000B1C00 00008200
首先,我们要知道现在的杀软,以瑞星查杀内存是最厉害的,瑞星内存免杀能过的话,其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软,对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。有的朋友错误的认为,给***加壳、加花、加密,这样文件(表面)免杀了,然后再用这个查找内存特征码,这样理解是错误的。
现在我们开始进行黑防灰鸽子的文件特征码定位查找:
首先我们要生成一个无壳的鸽子客户端,我已经生成好了。
打开MYCCL复合特征码定位器软件,把我们要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
区段 开始位置 分段长度
CODE 00000400 000A1200 95%的特征码都是在这个区段里
正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
[特征] 00092E3D_00001DB3
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
这里一共有3大段,我们看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?我们继续。使它更精确一些。
选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的 呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919 这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有 要说明的是我们的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样我们就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是我们所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
[特征] 000949A7_00000002
[特征] 00094B3D_00000002
[特征] 000973E9_00000002
[特征] 0009CBBC_00000002
[特征] 0009F5A6_00000002
[特征] 000A0A46_00000002
[特征] 000A0DD2_00000002
[特征] 000A1250_00000002
[特征] 000A12A2_00000002
我们测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置,偏移量是2个字节,我们用0填充,为了节余时间,其他的你们填充吧。看到了,修改正确。教程到此,下次讲内存特征码的定位。
|
转载于:https://blog.51cto.com/rootkit/219891
MYCCL特征码定位器的详细使用相关推荐
- MYCCL特征码定位器详细使用之内存定位
上次我们详细讲解了MYCCL特征码定位器的文件特征码定位,这次我们详细讲解内存特征码的定位. 内存特征码定位前,我们必须要对木马的文件特征码进行特征码查找并用0填充免杀,然后才可以进行内存特征码的查找 ...
- MYCCL复合特征码定位器简介
复合特征码辅助定位工具 MyCCL by:Tanknight . 前言 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特 ...
- MYCCL复合特征码定位器及其使用教程
复合特征码辅助定位工具 MyCCL by:Tanknight ------------------------------- 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法 ...
- MyCCL特征码定位原理学习
这段时间学习WEB方面的技术,遇到了木马免杀特征码定位的问题,这里做一下学习笔记. 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后,文件列表是这样的. 注意这里 ...
- 木马免杀原理详解(一)
木马免杀原理详解 首先来简单了解一下杀毒软件查杀病毒的原理,当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法.其中前一个比较方法古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义 ...
- 病毒特征码定位原理和首次使用MyCCL
一 什么是病毒特征码 特征码就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒.每个杀毒软件公司都有自己的特征码提取方法和提取工具,这也是特别需要技术的地 ...
- 壳的相关知识与木马加壳改壳免杀及各类修改特征码免杀方法
1.壳的分类:压缩壳和加密壳 2.壳的作用:保护和文件免杀 二.加壳免杀的几个弱点 1.不能躲过像瑞星这类具有内存查杀功能的杀毒软件. 2.一般不能躲过卡巴的查杀 因为卡巴采用了一种叫虚拟机技术.首先 ...
- myccl初次使用(zz)
修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀.给木马加壳.加花.加密,这样文件(表面)免杀了,不等于文件特征码免杀. 操作步骤 ...
- 免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
00. 概述 什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为& ...
最新文章
- Docker构建YApi镜像, Docker安装YApi, Docker部署YApi
- 英语 语义分割_Padlex数据处理-语义分割-分段变换,PaddleX,segtransforms
- 操作系统基本分段存储管理方式
- SaltStack部署
- Linux命令之pstree - 以树状图显示进程间的关系
- 高一数学集合知识点整理_高一数学知识点总结
- mui 时间样式错乱_微信公众号素材样式中心在哪?公众号动态分割线怎么添加?...
- Android应用开发—知识点汇总
- 华为5G又一黑科技曝光!中国通信技术将全球领先
- java以逗号截取字符串_使用java流获取逗号分隔的字符串
- proxool,好东西
- 发那科机器人override指令_发那科FANUC机器人编写简单的程序详细教程
- 要重复多少次变成潜意识_潜意识成功法则
- Java基础 -> 线程池的底层⼯作原理
- 命令行运行ktr和kjb
- util.Date和sql.Date之间的转换
- 安装 Windows Server 2003 IIS6.0 详解(图)
- HTML:超文本标记语言
- CFO和财务VP的OKR案例,打造并领导世界一流的金融团队
- hdu 1983 Kaitou Kid - The Phantom Thief (2)