[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，
- n5 l' G; m2 D
作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。
) w6 w8 {' [8 X
于是，杀软的各种干扰措施出来了。
6 _5 O+ ]* W& T, S- P) [
以下，我就来分析下常见的使用myccl的一些问题

1.为什么我的myccl总是卡在一个特征码，不能继续定位了.

这个就是传说中的死循环了，杀软的一个常见干扰措施，
& C! j9 J% {9 Z! I1 I$ K
在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。4 A7 m. P3 j* n+ A3 J2 n

现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，9 R) q: k4 H) T$ h4 o* _. G
# j0 |9 P# b( s
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。+ w  A+ o% P* ^, I* z) P
# F( `) `" O$ m
2.为什么我把所有的特征码改完后，杀软还是报毒？

这样的情况多见于国外杀软，外国杀软侧重于功能性，  o  x; h! w; q/ @! J9 b
; }7 [' j8 ], _: `1 r5 z
特征码经常是不可能一次就定位出来，需要多次的定位，
3 |2 V6 ^  e* _
当我们修改完以后，仍然需要定位未定位出来的的特征码。$ v  h0 f( x. _
4 p3 X# x) q* d; C+ M' P
3.为什么我分了100块文件，杀软全部杀了？: h" v$ s5 J. m2 _
/ l2 @2 y# S4 a' |; u, _1 }
不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-1 a% N2 Y' `+ M4 u  l4 e/ e, u
8 K  \/ L% o- J* H
这样也是常见的杀软干扰方式，5 o2 p/ `6 D5 p1 h0 b) j0 V( S

我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？7 |8 A' X2 [- @  x- y1 B. j
- T7 Q  f7 I6 V% R' f- S
或者反向定位，这样的效果比正向定位要好，) i; w' b3 @+ R* E+ M/ U: o9 E6 p) Q

还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。

最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。
7 g/ l( N; O1 @# m+ [6 I, I; z: i
4.一个特征码，我已经改完了，为什么还会被杀软定位出来？+ m1 G8 v4 L" Q

这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，

一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!& O" k: N# `( R4 I6 S2 m7 P
0 H( P" B; U' D8 H4 o6 d
这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。

总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。
  |) X8 Q5 w5 s( U$ _1 j
如果大家对于myccl有些不懂的地方，跟帖子留言