标题:
[原创文章]
myccl使用技巧及其注意事项
[打印本页]
作者:
1335csy
时间:
2009-5-12 18:58
标题:
myccl使用技巧及其注意事项
当今的主流杀软都是采用特征码来查杀木马和病毒的,
& m F# X; @' Q9 \8 a3 h
" |: q; H% U. r5 X- z- j
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。
( o: W. r7 @1 E
! f% q2 F/ o( R2 V* t% h
于是,杀软的各种干扰措施出来了。
4 @8 k2 q. l1 X! R- u$ Y7 m- g6 c
! ^' W, h5 |' b" l4 `5 H) z
以下,我就来分析下常见的使用myccl的一些问题
/ D% K ]1 Q7 j7 U; t. a7 J4 |
! ^8 {) u$ `" Y1 D4 N: |
1.为什么我的myccl总是卡在一个特征码,不能继续定位了.
# ?$ J0 v/ o% }! S8 ]
* w% D4 p; U# D/ s* \: W) l
这个就是传说中的死循环了,杀软的一个常见干扰措施,
0 {6 H! G, C/ R5 \- C2 x
! Z" r" ?( z& ?8 b6 v! E+ X" k; w
在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。
4 A5 d9 u3 t9 q/ f
f9 l9 G) K1 K6 x1 X, L
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,
' C" g# y% j" k c3 Y+ k* i. n) }
! N0 Z7 k- s: `. ] ]! u4 x* V. P e
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。
& E$ X0 f6 r/ ?% s- Z- V
. ?5 ]2 j3 A; J5 A6 z- o
2.为什么我把所有的特征码改完后,杀软还是报毒?
; u: z+ X0 S% k, U/ J
; s9 U4 m; t0 Q a
这样的情况多见于国外杀软,外国杀软侧重于功能性,
1 _$ }9 R6 {5 _- V2 t
2 s1 l! h/ E& U
特征码经常是不可能一次就定位出来,需要多次的定位,
2 |; k7 D6 C, n D$ G3 Z f
: W, S1 x Z% r/ L7 Z8 s _4 X
当我们修改完以后,仍然需要定位未定位出来的的特征码。
3 A( R. {* k" V% r0 d5 g5 ?7 |8 b" ^
% p( q1 V+ x. S, _2 G
3.为什么我分了100块文件,杀软全部杀了?
, f9 _9 S6 g' c9 {6 `9 n7 w) B
) |0 {' @& g# e
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
/ q, p. c: d z) x
, W$ {' z6 V2 `9 n0 j( }
这样也是常见的杀软干扰方式,
G% p: _1 E; ^
9 H" A& a8 ^# D+ c. I3 U0 d1 h
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?
1 i; l- t' n+ A. N) B o# s+ Y
f. S6 j) z8 z
或者反向定位,这样的效果比正向定位要好,
" b% U& q- E# q0 Y% f
5 c0 F. |5 i+ ^
还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
) D" i+ I3 H. S) o( C
1 l: { i X7 Q" K( K, L
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。
& b& Q; g$ w! |! c" c6 E# @
6 {3 Y- u4 V" [) \
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?
! O) t/ R, k( v
1 `. I( o) F0 h2 Y6 W
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,
, C( D w2 q, t( y
% }8 [) r! j) v0 Y1 l P4 h. ]
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
" _8 v$ V5 ^0 e) K# f+ C7 V
5 S0 B, D- j& t
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
' _ j: ?4 l* ^8 z8 J
* p0 O' ^ D) [" [& L6 T: {
总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
( F8 x5 R s' Y% ]7 g" i( T) M- B
3 d2 x# u) v. \# Z1 G! j4 O( S
如果大家对于myccl有些不懂的地方,跟帖子留言
作者:
柔肠寸断
时间:
2009-5-12 20:56
呵呵,免杀王出场
作者:
1335csy
时间:
2009-5-13 00:47
标题:
回复 2楼 柔肠寸断 的帖子
:L :L :L :L 不要这么讲,- -! 随手写了点
作者:
鱼儿无心
时间:
2011-12-4 17:26
拿分闪人..............
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2