- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
|
当今的主流杀软都是采用特征码来查杀木马和病毒的,
# P, v4 q7 f9 u3 X
2 [$ `! x2 y/ c% q! H作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。% W4 r# C. q: x
/ n. {% [3 a6 u, V" P: g于是,杀软的各种干扰措施出来了。9 g8 l3 l* w1 j' u
- m, K$ X1 G0 B3 z以下,我就来分析下常见的使用myccl的一些问题
& }9 q" M: z1 \( \3 H- a
[( b% F+ U3 a w3 \1.为什么我的myccl总是卡在一个特征码,不能继续定位了.
4 N* g3 L- w0 w- J
( ]* u! {/ e4 {! y0 N: w5 x. \这个就是传说中的死循环了,杀软的一个常见干扰措施,. h8 B% ~' h% ^
8 i$ E: i0 |: S在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。1 c% Q- [2 m7 a7 P
) W2 e% |+ p& ~4 \
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,
0 T0 B. h D# Z0 E& X4 C; J+ B) J" }6 _
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。8 W) n% H: B" @% s6 j
! q) d7 K; J3 n1 p! J# y# e9 B5 ^# E
2.为什么我把所有的特征码改完后,杀软还是报毒?8 n: B" d4 ^: U
. K' d( M7 D* V( ?% a' U
这样的情况多见于国外杀软,外国杀软侧重于功能性,
: S# l9 B* X3 T$ T
# _5 ~6 a( e- l' S& o+ C- s特征码经常是不可能一次就定位出来,需要多次的定位,' ~2 L4 F( |- K' y/ r) _% L- F
$ O- K' @1 \, D) W8 _7 w* y) B
当我们修改完以后,仍然需要定位未定位出来的的特征码。
6 x3 D9 m1 R3 t$ Y. R2 J+ A6 a0 ?/ u6 v5 z+ ^' p
3.为什么我分了100块文件,杀软全部杀了?. o# ` o/ G Q5 O H! t
6 o" Q+ |( N6 J( g( h不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
/ m7 ?' g. }2 X8 M& y) ] C/ l, } z" c; q! Z3 {& a% O
这样也是常见的杀软干扰方式,5 k, t' U! Q( o; V0 u; Q4 B& l
4 x M8 F, b; E0 F
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?9 B' M, l1 L9 `7 F8 a* J- F- E
' y, d7 h. b$ |. L. g8 Q
或者反向定位,这样的效果比正向定位要好,
# A* }' \% |9 t; H# {5 T: D3 Z; l' w' H" E
还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。+ a" Z1 f% T) j! a
}& I! O& m5 k6 d- M
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。
" u8 ~- i( e3 X1 U* n' A2 r6 W% y
" v8 N, B) O! s6 T$ r Y' K% R7 t4.一个特征码,我已经改完了,为什么还会被杀软定位出来?$ H( ?6 H, h) g% x& j
* F; x% q+ K8 \
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,' F- I }+ v- p" A9 }* F& Z n
9 V* P- a+ x( e% G! N, _, j
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!; G: U8 `( n. t9 L; N$ o
. D/ ?: n+ s+ @! ~* u这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。! u5 M, s, k2 j j* @3 D
4 n" v; c2 V! G7 X总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
. F. \& Z# o/ q- |
0 j% p& V' D2 o E如果大家对于myccl有些不懂的地方,跟帖子留言 |
|