|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
当今的主流杀软都是采用特征码来查杀木马和病毒的,2 n8 O0 |4 o! P/ d7 T0 A
' m' b8 x. T* Z+ x
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。5 c& j1 E: ?1 N" C6 A
9 U$ d+ U2 g6 u9 _5 P于是,杀软的各种干扰措施出来了。' _4 A# o4 {' k# k4 g
- A' ~* `6 O" N2 _以下,我就来分析下常见的使用myccl的一些问题1 ?8 v& z+ o# ?& n+ @
; Y9 S0 j3 X# K1.为什么我的myccl总是卡在一个特征码,不能继续定位了.( S: e+ O2 H2 M+ p5 u
: G: f. T0 h q+ X& k5 ~这个就是传说中的死循环了,杀软的一个常见干扰措施,
$ E: X% k% m6 ?$ `+ y
8 s b: d) T- k在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。, ]9 l! i6 R. b5 n7 H% H+ z8 i) r* K
% t+ c% k# J* H; t: p2 A
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,' q7 {5 M, d3 r H
* c# p+ \+ {7 m* E3 b9 E, z不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。! [* V3 i2 W$ M- C# h
+ C2 Q1 R- k& N/ s9 b& |
2.为什么我把所有的特征码改完后,杀软还是报毒?6 w- A: @. ~( w. w2 E! ?9 R
3 @2 O4 n- G' d1 h/ J7 a. W这样的情况多见于国外杀软,外国杀软侧重于功能性,# ^, h' D, h D+ b% B
7 E i( w' u6 ?特征码经常是不可能一次就定位出来,需要多次的定位,
4 a _8 m' g" c8 p; @: \% j
! s( ^: G% c8 W* K+ N k当我们修改完以后,仍然需要定位未定位出来的的特征码。
! c& E- E+ X, I) E, O" {) K9 E1 |+ |0 s. H
3.为什么我分了100块文件,杀软全部杀了?
" j4 }6 x" d1 K; O" Z' [8 k# ]. N2 B. b. y1 _+ @
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-( g, z% y) H7 a0 ^2 ?$ v$ s
3 I: p( u6 g( q. {1 f这样也是常见的杀软干扰方式,
& E9 p& G6 C- L5 R
( M% g) f4 z: }7 Y我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?
- s O* u' q, ^1 ]7 f; e' L4 D& k5 ?" U
或者反向定位,这样的效果比正向定位要好,
' U5 ^6 }! F3 E5 P4 |5 ]+ W) P0 c
还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
; G: K+ k! v5 u- v8 C
- u; }. T, P5 @9 G1 T8 D最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。& ^3 z6 B/ N6 _& [9 m1 }3 W1 I
% c% v8 h s) U$ x! }4.一个特征码,我已经改完了,为什么还会被杀软定位出来?5 h: g- s+ \. r' [- s3 n0 b
h: @7 |+ q' Y! h1 a
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,
t: y- q) d0 m! {* \# O$ `8 v3 j
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
! u7 K! F6 }: P& }3 F* u9 B( ^) R' U X7 M
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。! n- e4 S! \+ @7 m( f2 [5 P
1 H, V6 U3 ~7 r4 E1 [2 @总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。7 ]. i+ \, G: x' O C3 I
3 @& C) z3 X5 T& Y8 u% ?) `如果大家对于myccl有些不懂的地方,跟帖子留言 |
|
发表于 2009-5-12 18:58
| 
发表于 2009-5-12 20:56
| 