[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，
+ E+ A2 r9 X+ b' E; |- M0 j9 D
作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。- G0 R% O. |3 T' w3 U3 y& j; C
. v  F$ Q! v! X0 l0 c; h/ E6 P
于是，杀软的各种干扰措施出来了。5 f# Z* M' c) |& E6 q( t9 F1 C
2 B3 |. x' A+ v1 V- G0 p' X
以下，我就来分析下常见的使用myccl的一些问题" t3 \( n) Q2 h( Q* M

1.为什么我的myccl总是卡在一个特征码，不能继续定位了.

这个就是传说中的死循环了，杀软的一个常见干扰措施，

在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。# d: W9 ^- }% L7 P3 j, F0 \$ G. x
: K$ p( y) O4 K$ ~3 I, L
现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，8 u7 a  `* y& R2 m8 i6 B6 a9 ^0 L
0 H! U* H, t1 ~& v$ W
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。! E* e% x$ `  p$ {$ [2 [7 W

2.为什么我把所有的特征码改完后，杀软还是报毒？2 s1 z" @- c, L, _& y# i
2 m$ m6 D/ T0 d
这样的情况多见于国外杀软，外国杀软侧重于功能性，
. q2 V- z: y3 m& B
特征码经常是不可能一次就定位出来，需要多次的定位，1 v0 T# m4 u2 Y' s8 r5 N
) [: W5 R0 t7 _1 U' [
当我们修改完以后，仍然需要定位未定位出来的的特征码。

3.为什么我分了100块文件，杀软全部杀了？

不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-

这样也是常见的杀软干扰方式，: z! \4 a! d  f1 n4 C

我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？4 T$ c$ y# x# t3 ~  F: I0 y

或者反向定位，这样的效果比正向定位要好，
5 q0 S2 z$ h# G: w6 Y* h" z6 T
还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。; ~& \  v" r$ `0 Q! E* `& ]' v6 c% n
6 v  N' w( u5 g$ @8 m7 @# \
最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。
! E% L$ U- r4 P8 O0 K( T# y/ V
4.一个特征码，我已经改完了，为什么还会被杀软定位出来？% N. S( u: s# N1 L% s8 H& g
: D# o, W' U' `6 F$ \! z$ o
这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，

一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!- v8 Z2 k$ a( S; _
. |, B; Y) J. x! ^
这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。( _( q  l4 B8 f0 ?. I3 ~+ ?

总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。; z! q1 R& k( @7 A5 Z0 q3 J

如果大家对于myccl有些不懂的地方，跟帖子留言