|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
当今的主流杀软都是采用特征码来查杀木马和病毒的,
( l! Q& v/ O+ b& V; ]4 f* v( [+ q6 z
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。
3 N9 D' b, c$ J0 _
, p% {6 M- c* v. |) H1 ?3 S% p于是,杀软的各种干扰措施出来了。. V1 n$ F9 Z# L% I
2 `- Q8 J' f$ x以下,我就来分析下常见的使用myccl的一些问题
- U( }# ?! G |% `8 [9 w
! W/ w' {0 I: L1.为什么我的myccl总是卡在一个特征码,不能继续定位了.! b8 @$ U; B) E/ b5 \1 j" c p- O
, E0 C7 q# h( ~' w5 S
这个就是传说中的死循环了,杀软的一个常见干扰措施,
9 n' H9 M( }, ^1 j6 q; w p% J& ?: ], s. ^: ^; Z0 \5 J `$ ]
在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。# M" b! M9 V% A m2 d4 a; C l
$ V' I( I; d; [2 _0 o$ B现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,: n+ Z1 f' B+ t8 J! S7 ~
. T7 e( g' n' i( j不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。' B& e; h# |% ], z
; R& ~2 t) n9 e# D
2.为什么我把所有的特征码改完后,杀软还是报毒?
' K: H l8 x2 |/ Z3 C2 X
. }- W4 h* [( e这样的情况多见于国外杀软,外国杀软侧重于功能性,
, |. u0 s% `) ~- p0 D2 E: F
* z; ]* E4 l4 p特征码经常是不可能一次就定位出来,需要多次的定位,8 E. D* x+ t9 x* c8 ?4 `
1 f4 f6 N* P8 y( r当我们修改完以后,仍然需要定位未定位出来的的特征码。7 q$ _/ u4 _! l9 o$ n
. Y: w1 N# R2 ?! i
3.为什么我分了100块文件,杀软全部杀了? e: L9 X: i% d: H3 t+ }! w4 Z
. E' ~9 |- X- j- [# U
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
# G @5 S/ v+ L, z% w
' R! i" i L' V8 l- t0 E: \- a, w0 L这样也是常见的杀软干扰方式,
6 U8 V* \# J ^: C5 W' t0 s6 I; R6 P# O
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?/ A% ?1 A# N2 I! l: |
) q! H- C" D8 G4 S' S或者反向定位,这样的效果比正向定位要好,* C5 Q* p' V) r I' o& L
# _4 d6 h$ U$ h6 H' z还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
( y9 q* C/ B2 {' f* ^
. w, `# y5 f: Q( D最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。* ] a8 G' S- o
! ~2 M4 D9 r" g- Y/ D
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?$ F. P S# W1 H7 j5 |1 V
; J( Y' T1 @ L3 q6 j/ P
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新," R( A, Y2 H" n( V
% a( j( _6 r$ Q* N0 {
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
) a2 z5 q5 c! r, c3 u! `* X0 Y+ A. N5 J
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
, @ a# ^/ X' @2 F' I
1 J" Q0 G: ]+ e, J0 p7 d总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
$ m1 ~2 P' \# M1 j g
* F% o; g8 U8 [ Z如果大家对于myccl有些不懂的地方,跟帖子留言 |
|
发表于 2009-5-12 18:58
| 
发表于 2009-5-12 20:56
| 