上次我们详细讲解了MYCCL特征码定位器的文件特征码定位，这次我们详细讲解内存特征码的定位。

内存特征码定位前，我们必须要对木马的文件特征码进行特征码查找并用0填充免杀，然后才可以进行内存特征码的查找定位，这是必须的。上次教程，我已经对此进行了说明。再有我们要用哪个杀毒软件进行内存定位，就必须要这个杀毒软件进行文件特征码的免杀。比如有的朋友用卡巴进行文件特征码的定位，再用瑞星进行内存特征码的定位，这是错误的。

在开始内存特征码定位前，我们要把内特辅助定位器TK.Loader和MYCCL复合特征码定位器放在同一个目录下，内特辅助定位器TK.Loader它的作用就是把我们生成的木马加载进内存里，以供杀毒软件进行内存的查杀。

内存特征码的定位和文件特征码的定位参数设置上基本相同，不同的是地方是：带后缀选框要选上，点生成后，我们右键点目录，显示用TK.Loader打开目录（T），我们要用TK.Loader把我们生成的文件全部加载进内存。昨天我自己测试的时候忘记把带后缀选上，结果加载的时候失败，呵呵。希望大家注意！

接下来我们用瑞星进行内存的查杀（注意只选择内存查杀），查杀后我们不要让瑞星自动删除，这里是和文件特征码定位不一样的，特别注意：我们要手动进行删除。其他步骤和文件特征码查找一样。二次处理后，我们依然是用TK.Loader把生成的文件全部载入内存用瑞星的内存进行查杀。内存查找特征码用的时间要比文件特征码多，所以我就不全部演示了，步骤是一样的。

特征码 物理地址/物理长度 如下:
[特征] 00010F4B_00001DB3
[特征] 00068328_00001DB3
[特征] 0009A509_00001DB3
[特征] 0009FE22_00001DB3
[特征] 000A573B_00001DB3

这是大的偏移量，我们重复以上步骤，使它更精确。以下的，和以前步骤一样，大家自己来做。我先暂停，在后面做，不浪费大家的时间。

由于是在单位做教程，使教程不能连续在此表示抱歉了！！

注意：这里我要说明一下，在二次处理后，如果杀毒软件查不出病毒（病毒为0）的时候，我们要把内特辅助定位器TK.Loader关掉，避免它重复加载，不然我们的定位会出现差错。如果杀毒软件能查出病毒的话，内特辅助定位器TK.Loader会自动关闭的。
特征码 物理地址/物理长度 如下:
[特征] 00012B41_00000002
[特征] 00068BEE_00000002
[特征] 0009ADF7_00000002
[特征] 000A158C_00000002
[特征] 000A15BE_00000002
[特征] 000A15E0_00000003
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002

最后把定位出来内存特征码结果用WinHex进行修改，也可以用UltraEdit或者C32Asm都可以。我们用以前文件特征码免杀的鸽子载入UltraEdit，找到特征码所在的位置，注意偏移量有的是2，有的是3个字节，我们用0填充，保存后，我们用OD载入，瑞星杀软的内存进行查杀。

第一个是文件特征码免杀的，内存没有免杀。这个是内存免杀的。

这里我要说明一下，并不是我们的定位错误，其中有处定位的特征码比较特殊：
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002

我们测试一下：

看到了，修改正确。教程到此，下次讲内存特征码修改免杀。

我是傲气好男人 QQ：3012826 欢迎大家交流！

同时希望黑吧给个论坛申请码。我做的教程都是在黑吧首发的，并没有在其他地方发过。