MYCCL特征码定位器详细使用之内存定位
上次我们详细讲解了MYCCL特征码定位器的文件特征码定位,这次我们详细讲解内存特征码的定位。
内存特征码定位前,我们必须要对木马的文件特征码进行特征码查找并用0填充免杀,然后才可以进行内存特征码的查找定位,这是必须的。上次教程,我已经对此进行了说明。再有我们要用哪个杀毒软件进行内存定位,就必须要这个杀毒软件进行文件特征码的免杀。比如有的朋友用卡巴进行文件特征码的定位,再用瑞星进行内存特征码的定位,这是错误的。
在开始内存特征码定位前,我们要把内特辅助定位器TK.Loader和MYCCL复合特征码定位器放在同一个目录下,内特辅助定位器TK.Loader它的作用就是把我们生成的木马加载进内存里,以供杀毒软件进行内存的查杀。
内存特征码的定位和文件特征码的定位参数设置上基本相同,不同的是地方是:带后缀选框要选上,点生成后,我们右键点目录,显示用TK.Loader打开目录(T),我们要用TK.Loader把我们生成的文件全部加载进内存。昨天我自己测试的时候忘记把带后缀选上,结果加载的时候失败,呵呵。希望大家注意!
接下来我们用瑞星进行内存的查杀(注意只选择内存查杀),查杀后我们不要让瑞星自动删除,这里是和文件特征码定位不一样的,特别注意:我们要手动进行删除。其他步骤和文件特征码查找一样。二次处理后,我们依然是用TK.Loader把生成的文件全部载入内存用瑞星的内存进行查杀。内存查找特征码用的时间要比文件特征码多,所以我就不全部演示了,步骤是一样的。
特征码 物理地址/物理长度 如下:
[特征] 00010F4B_00001DB3
[特征] 00068328_00001DB3
[特征] 0009A509_00001DB3
[特征] 0009FE22_00001DB3
[特征] 000A573B_00001DB3
这是大的偏移量,我们重复以上步骤,使它更精确。以下的,和以前步骤一样,大家自己来做。我先暂停,在后面做,不浪费大家的时间。
由于是在单位做教程,使教程不能连续在此表示抱歉了!!
注意:这里我要说明一下,在二次处理后,如果杀毒软件查不出病毒(病毒为0)的时候,我们要把内特辅助定位器TK.Loader关掉,避免它重复加载,不然我们的定位会出现差错。如果杀毒软件能查出病毒的话,内特辅助定位器TK.Loader会自动关闭的。
特征码 物理地址/物理长度 如下:
[特征] 00012B41_00000002
[特征] 00068BEE_00000002
[特征] 0009ADF7_00000002
[特征] 000A158C_00000002
[特征] 000A15BE_00000002
[特征] 000A15E0_00000003
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002
最后把定位出来内存特征码结果用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们用以前文件特征码免杀的鸽子载入UltraEdit,找到特征码所在的位置,注意偏移量有的是2,有的是3个字节,我们用0填充,保存后,我们用OD载入,瑞星杀软的内存进行查杀。
第一个是文件特征码免杀的,内存没有免杀。这个是内存免杀的。
这里我要说明一下,并不是我们的定位错误,其中有处定位的特征码比较特殊:
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002
我们测试一下:
看到了,修改正确。教程到此,下次讲内存特征码修改免杀。
我是傲气好男人 QQ:3012826 欢迎大家交流!
同时希望黑吧给个论坛申请码。我做的教程都是在黑吧首发的,并没有在其他地方发过。
转载于:https://www.cnblogs.com/shanmao/archive/2013/02/05/2893354.html
MYCCL特征码定位器详细使用之内存定位相关推荐
- MYCCL特征码定位器的详细使用
原文连接:http://hi.baidu.com/%BA%CE%B3%C9%B8%D5/blog/item/080ebd09b04d8e206b60fb21 .html MYCCL特征码定位器的详细使 ...
- MYCCL复合特征码定位器简介
复合特征码辅助定位工具 MyCCL by:Tanknight . 前言 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特 ...
- MYCCL复合特征码定位器及其使用教程
复合特征码辅助定位工具 MyCCL by:Tanknight ------------------------------- 自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法 ...
- MyCCL特征码定位原理学习
这段时间学习WEB方面的技术,遇到了木马免杀特征码定位的问题,这里做一下学习笔记. 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后,文件列表是这样的. 注意这里 ...
- 转一个高内存定位的文章
前一篇介绍了线上应用故障排查之一:高CPU占用,这篇主要分析高内存占用故障的排查. 搞Java开发的,经常会碰到下面两种异常: 1.java.lang.OutOfMemoryError: PermGe ...
- 服务器i620-g15用什么型号内存,定位不同领域 曙光I620-G15服务器评测
早在2012年12月,曙光正式发布三款GPU服务器产品,分别为TC4600 GPU刀片服务器.天阔W580I-G10服务器和天阔I620-G15服务器.其中天阔I620-G15服务器全新一代产品正式亮 ...
- JVM最详细知识点笔记-内存与垃圾回收篇
内存与垃圾回收 一.JVM与JAVA体系结构 1.1 概述 JAVA虚拟机: 含义: Java虚拟机是一台执行Java字节码的虚拟计算机,它拥有独立的运行机制,其运行的Java字节码也未必由Java语 ...
- 可能是目前最详细的Redis内存模型及应用解读
Redis是目前最火爆的内存数据库之一,通过在内存中读写数据,大大提高了读写速度,可以说Redis是实现网站高并发不可或缺的一部分. 我们使用Redis时,会接触Redis的5种对象类型:字符串.哈希 ...
- 王爽 汇编语言第三版 第7章 --- 更灵活的定位内存地址的方法(可以理解为 数组形式的内存定位)
汇编语言(第三版)王爽著 的十二个实验:https://blog.csdn.net/OrangeHap/article/details/89791064 大小端 字节对齐 对于 arm,intel 这 ...
最新文章
- 视频程式化的基于帧差异的时间损失
- Android nDrawer
- asp.net学习之DataList控件
- Linux疑难杂症解决方案100篇(四)-SHELL编程预留题目解析
- Go的sync.Mutex(七):互斥锁锁定一个资源 只有一个协程操作其他等待
- 【Java线程】线程同步—synchronized Lock
- commons-lang的FastDateFormat性能测试
- JavaScript对象中的this属性
- 不同维度的矩阵相乘的时间复杂度
- Android Webview实现文件下载功能
- oracle 表名拼接_Oracle之3种表连接方式(排序合并连接、嵌套循环、哈希连接)...
- 你以为PHP那么好自定义升级?
- springbootredis连接池配置优化_spring boot rest 接口集成 spring security(2) – JWT配置
- 燕山大学高数AⅠ复习资料
- 华为网络模拟器eNSP安装教程
- Google 应用与游戏出海 7 月刊: 创意工具,让应用大放异彩
- java dto 生成_java – 从多个源DTO映射到一个目标
- matlab 图像范围,Matlab对数范围colorbar图像c
- win7计算机不显示摄像头图标不见了,win7系统摄像头图标不见怎么办?
- WeChat基础 senparc公众平台搭建