Board logo

标题: [原创文章] myccl使用技巧及其注意事项 [打印本页]

作者: 1335csy    时间: 2009-5-12 18:58     标题: myccl使用技巧及其注意事项

当今的主流杀软都是采用特征码来查杀木马和病毒的,& m  F# X; @' Q9 \8 a3 h
" |: q; H% U. r5 X- z- j
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。
( o: W. r7 @1 E! f% q2 F/ o( R2 V* t% h
于是,杀软的各种干扰措施出来了。4 @8 k2 q. l1 X! R- u$ Y7 m- g6 c

! ^' W, h5 |' b" l4 `5 H) z以下,我就来分析下常见的使用myccl的一些问题/ D% K  ]1 Q7 j7 U; t. a7 J4 |
! ^8 {) u$ `" Y1 D4 N: |
1.为什么我的myccl总是卡在一个特征码,不能继续定位了.# ?$ J0 v/ o% }! S8 ]
* w% D4 p; U# D/ s* \: W) l
这个就是传说中的死循环了,杀软的一个常见干扰措施,
0 {6 H! G, C/ R5 \- C2 x
! Z" r" ?( z& ?8 b6 v! E+ X" k; w在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。
4 A5 d9 u3 t9 q/ f  f9 l9 G) K1 K6 x1 X, L
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,
' C" g# y% j" k  c3 Y+ k* i. n) }! N0 Z7 k- s: `. ]  ]! u4 x* V. P  e
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。& E$ X0 f6 r/ ?% s- Z- V

. ?5 ]2 j3 A; J5 A6 z- o2.为什么我把所有的特征码改完后,杀软还是报毒?; u: z+ X0 S% k, U/ J
; s9 U4 m; t0 Q  a
这样的情况多见于国外杀软,外国杀软侧重于功能性,1 _$ }9 R6 {5 _- V2 t
2 s1 l! h/ E& U
特征码经常是不可能一次就定位出来,需要多次的定位,2 |; k7 D6 C, n  D$ G3 Z  f
: W, S1 x  Z% r/ L7 Z8 s  _4 X
当我们修改完以后,仍然需要定位未定位出来的的特征码。
3 A( R. {* k" V% r0 d5 g5 ?7 |8 b" ^
% p( q1 V+ x. S, _2 G3.为什么我分了100块文件,杀软全部杀了?
, f9 _9 S6 g' c9 {6 `9 n7 w) B) |0 {' @& g# e
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-/ q, p. c: d  z) x

, W$ {' z6 V2 `9 n0 j( }这样也是常见的杀软干扰方式,  G% p: _1 E; ^

9 H" A& a8 ^# D+ c. I3 U0 d1 h我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?1 i; l- t' n+ A. N) B  o# s+ Y

  f. S6 j) z8 z或者反向定位,这样的效果比正向定位要好,
" b% U& q- E# q0 Y% f
5 c0 F. |5 i+ ^还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。) D" i+ I3 H. S) o( C

1 l: {  i  X7 Q" K( K, L最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。& b& Q; g$ w! |! c" c6 E# @
6 {3 Y- u4 V" [) \
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?! O) t/ R, k( v
1 `. I( o) F0 h2 Y6 W
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,
, C( D  w2 q, t( y
% }8 [) r! j) v0 Y1 l  P4 h. ]一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
" _8 v$ V5 ^0 e) K# f+ C7 V
5 S0 B, D- j& t这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
' _  j: ?4 l* ^8 z8 J* p0 O' ^  D) [" [& L6 T: {
总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
( F8 x5 R  s' Y% ]7 g" i( T) M- B3 d2 x# u) v. \# Z1 G! j4 O( S
如果大家对于myccl有些不懂的地方,跟帖子留言
作者: 柔肠寸断    时间: 2009-5-12 20:56

呵呵,免杀王出场
作者: 1335csy    时间: 2009-5-13 00:47     标题: 回复 2楼 柔肠寸断 的帖子

:L :L :L :L 不要这么讲,- -! 随手写了点
作者: 鱼儿无心    时间: 2011-12-4 17:26

拿分闪人..............




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2