|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
当今的主流杀软都是采用特征码来查杀木马和病毒的,
2 |: {1 t$ `' e( ?) A7 A; U7 l$ u; R' t2 F: i2 w
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。, A6 h' R# c8 S9 G4 w
e3 a6 U- K3 V- v! D于是,杀软的各种干扰措施出来了。
7 S' n9 s% Y2 H* s
) p' X) \4 w7 { Y% U* n以下,我就来分析下常见的使用myccl的一些问题
7 ]4 @2 a) u2 L! K" f7 \9 j8 e# E
1.为什么我的myccl总是卡在一个特征码,不能继续定位了.
0 @- t" O* e/ o' _5 k3 l' y- e8 S0 \' J* e* R: Q
这个就是传说中的死循环了,杀软的一个常见干扰措施,, I1 u8 ^1 r, D0 G, Z8 r$ v
2 [5 m4 Q t- f: }8 Z y! R在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。6 V* f5 w$ p9 U7 n
6 T: m. d( u2 M现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,& b# E! ]% v0 o* y+ W- C
; K- S. r3 {# G! X. e5 X
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。8 \: M7 m2 A* H9 s7 E
) _' j, k2 q% W2.为什么我把所有的特征码改完后,杀软还是报毒?
4 `1 G2 ~; B9 X$ |5 h. }% Y7 k' N Q7 x `
这样的情况多见于国外杀软,外国杀软侧重于功能性,- v" X! F+ Z8 n: G7 ?6 Z
; w* n6 w, _6 Y6 F o
特征码经常是不可能一次就定位出来,需要多次的定位,
) W7 Y2 P+ G, i( _! h+ H2 ]4 b+ o1 b# w u# I5 v# u
当我们修改完以后,仍然需要定位未定位出来的的特征码。% g# E7 w+ {, i
& ~4 O, ]/ Y; z8 f' S9 j3.为什么我分了100块文件,杀软全部杀了?
3 _& V' n9 U! ~1 b; r. {
3 N8 ~' {& }# v; W- w/ G不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
5 k# s, J/ f/ r4 L0 w( Q- h5 ?# J7 Y6 ?; @
这样也是常见的杀软干扰方式,( L+ T! r8 y4 @' o0 d, R6 Z
2 D* V0 e& [( }3 J
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?& }4 i C. [. S5 B( j2 Y5 v
6 Z! ?2 W' M E7 ?# X$ L或者反向定位,这样的效果比正向定位要好,
h% m4 C7 r; ]
: x, c# ~ D5 \4 \还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
; e( s8 j& R. i7 G ]( s+ b1 F+ W9 H# O# l! {
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。
$ C0 j% |! }# m# N, J+ x5 k3 h! F3 F3 ^, A
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?
& ]" [9 I6 [, E R6 d1 c, m6 A
3 P; \ d% w% `. j# n) ?这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,0 p5 X. V8 r& F% d5 w
$ H2 ~8 g6 F0 o
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
! J8 t- m' Y' M% G8 _) _, P# u* W S1 K% [/ N: R# _+ O. p
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。5 D0 C! v, v4 q1 ~+ M1 P
! F0 R6 e; M& W+ [总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。2 h- u8 v: [3 Q
, N$ u8 K. ?6 e; b1 E如果大家对于myccl有些不懂的地方,跟帖子留言 |
|
发表于 2009-5-12 18:58
| 
发表于 2009-5-12 20:56
| 