标题:
[原创文章]
myccl使用技巧及其注意事项
[打印本页]
作者:
1335csy
时间:
2009-5-12 18:58
标题:
myccl使用技巧及其注意事项
当今的主流杀软都是采用特征码来查杀木马和病毒的,
, L# A" U @, }4 R! [
& g4 W, x$ A0 Y/ Y# `
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。
5 @' U( |; k. A' a
/ E2 v9 ~$ [% I: s! O i
于是,杀软的各种干扰措施出来了。
6 W1 ?5 i( {# z2 V0 f
* W, I! H ^ K, m$ A: }5 U' c, a
以下,我就来分析下常见的使用myccl的一些问题
* j3 a4 Y' o" `
) b# X1 F. [+ v/ S5 B
1.为什么我的myccl总是卡在一个特征码,不能继续定位了.
0 ]* Z: P3 G; x% S
9 t7 C8 T$ Q8 R- D, S6 p4 S
这个就是传说中的死循环了,杀软的一个常见干扰措施,
T0 n% B3 M6 y: @2 W" A5 |6 p
3 D6 {5 f; G R$ n, j5 f
在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。
2 S8 W/ M2 B% Z% m; C5 ?" J
) E" g M7 c. A
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,
% A# |% u8 _9 a8 F3 Z
% ^; p) x' ]$ s$ X" c
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。
# D. d2 T2 L( n, V. ]# j# M0 E
1 U' A" |3 E- Z7 c. n" I# t+ J7 Z
2.为什么我把所有的特征码改完后,杀软还是报毒?
, w! e& C D, l8 L& b e, H( r
5 ~* |7 q1 K$ o9 ~
这样的情况多见于国外杀软,外国杀软侧重于功能性,
" E- j( Q* R! D% q) m( t
# n! {7 Z, A" B/ d
特征码经常是不可能一次就定位出来,需要多次的定位,
0 V7 j/ B z9 T! A' N$ i
. h# b( T& @! H
当我们修改完以后,仍然需要定位未定位出来的的特征码。
, F6 ]8 D' C8 I- t/ u# E
+ k, v+ Q! V1 T7 \7 L2 W- L! W5 i
3.为什么我分了100块文件,杀软全部杀了?
% W, g* C; R5 e$ w* M* d) r
9 N+ R. E8 A0 K1 c3 Y# F, \
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
2 d+ d# A8 Z7 T1 `( O; o
4 H: W9 ]5 L5 K& y
这样也是常见的杀软干扰方式,
9 X$ t! K v- Y2 u) A
; S E1 E; O6 Z0 R* I/ ?0 b
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?
4 Y4 ~4 M% e- O" ~( l; h5 y M
, ^' ]* _1 z5 }4 X
或者反向定位,这样的效果比正向定位要好,
+ E; d' T6 ^9 o8 w b3 y) z
. y9 W* i/ `$ T4 t" P- `' V9 P
还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
2 x0 l% M0 o/ b8 t
: X" W* G! ?- K) ~* Z) B/ e4 Y: |5 q
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。
4 `# O L1 r8 `" L' P) K
5 _' Q4 R h& V8 l [9 u
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?
) u( I: p, _, K+ O9 q" Y, b
+ l2 e0 J# i% N+ X
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,
- a+ i7 ]7 U$ d9 L5 f' N* r
. M3 w. P5 Y$ ?
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
1 j* A V/ H$ `! X
0 c9 z, M. ^8 v0 {, l) u8 \8 `" |+ z
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
2 _% i* e, b, J# f4 T' d
) J: C' _$ e9 J
总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
3 I1 `, g c7 @0 W; o
3 ]% }8 F) L8 a! B6 g" q: T2 g
如果大家对于myccl有些不懂的地方,跟帖子留言
作者:
柔肠寸断
时间:
2009-5-12 20:56
呵呵,免杀王出场
作者:
1335csy
时间:
2009-5-13 00:47
标题:
回复 2楼 柔肠寸断 的帖子
:L :L :L :L 不要这么讲,- -! 随手写了点
作者:
鱼儿无心
时间:
2011-12-4 17:26
拿分闪人..............
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
