[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，/ C+ x9 o, n9 ?) M9 Y

作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。

于是，杀软的各种干扰措施出来了。
. v) @. X) u* c4 k9 @. c
以下，我就来分析下常见的使用myccl的一些问题+ k/ Q; Z4 g/ G6 |. t/ U
. Y, D0 I: P# R% j3 ?6 j; S/ a
1.为什么我的myccl总是卡在一个特征码，不能继续定位了.
, v: _5 f- l7 n) O1 ~6 M
这个就是传说中的死循环了，杀软的一个常见干扰措施，, I$ f& u! I! }3 b  b& \, E$ e
4 b7 z4 H3 |9 W1 k
在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。

现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，' @+ y$ N" x8 N" U' P
! O. V% o/ i/ @5 H3 P, |  {
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。: p$ c2 i* Q. }0 Z. G+ B  b/ U
9 {& I) X8 u' ~- O
2.为什么我把所有的特征码改完后，杀软还是报毒？4 u: J; M) o( s1 k' S6 Y% ~7 J2 U( S
2 }8 I7 D" o) h$ K2 A
这样的情况多见于国外杀软，外国杀软侧重于功能性，4 R% Q6 |# t% d2 T4 t
2 Z0 Y1 X7 {. X4 u- q9 |1 D/ T
特征码经常是不可能一次就定位出来，需要多次的定位，
" Q) C5 r+ Y: {) }; O- w  V
当我们修改完以后，仍然需要定位未定位出来的的特征码。

3.为什么我分了100块文件，杀软全部杀了？
' K4 h  p1 P, r( c8 G& ~
不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-

这样也是常见的杀软干扰方式，
) f) o# A# O1 R: h0 t. o
我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？, J# o, Z# P! u3 D- ?0 S5 `6 i

或者反向定位，这样的效果比正向定位要好，

还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。) x- `3 Z$ I# z0 B# A1 p, T) s
4 _6 A7 V7 X  v* G- |
最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。

4.一个特征码，我已经改完了，为什么还会被杀软定位出来？5 E1 W' ?8 h  M# Q
) z" u- r4 ^, h
这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，3 p, s! `( g: z+ k8 @& ^

一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!8 D/ D9 k5 O) }9 E" Y# |" b3 U7 {

这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。$ r9 C/ Z3 R& B' `6 P3 j+ n* R

总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。

如果大家对于myccl有些不懂的地方，跟帖子留言