[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，" M& o& d7 l3 s2 r

作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。
7 j: `  o, W6 I* t' Z: W$ g: H
于是，杀软的各种干扰措施出来了。8 l% U6 C- C+ b' |5 T
, M. j( R# {# R# R2 H" J; |
以下，我就来分析下常见的使用myccl的一些问题/ {- N% U* R: E( f
+ x0 H, Z& Y+ Z, I* }
1.为什么我的myccl总是卡在一个特征码，不能继续定位了.
( M) i; T( N$ j" [
这个就是传说中的死循环了，杀软的一个常见干扰措施，5 |2 V4 d1 o- G1 F

在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。
" X) V% F8 [/ W9 X
现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，$ q+ T+ ?+ b% E/ K# k: S! y
& R2 V9 m* K: J# E
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。; q0 t" w& I2 {& D. T7 U) Z8 W
$ G: k# G+ F* U; r$ z. p8 |
2.为什么我把所有的特征码改完后，杀软还是报毒？! j7 O1 X1 {" b9 L" W- K

这样的情况多见于国外杀软，外国杀软侧重于功能性，

特征码经常是不可能一次就定位出来，需要多次的定位，, P. j( P1 z2 \/ o1 s5 o' o

当我们修改完以后，仍然需要定位未定位出来的的特征码。
/ [0 `; ]* {9 O  V: W4 q5 @
3.为什么我分了100块文件，杀软全部杀了？# s: ]+ Y/ z1 I
. v& p- G8 z$ z" n
不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-; |% j7 c+ \4 J- J' m6 K; Y, X( K( k" y

这样也是常见的杀软干扰方式，

我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？& |& g: w' g# m/ e% Z* u, B8 X; v

或者反向定位，这样的效果比正向定位要好，' e( h3 P7 E% V) r# w) m8 D

还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。' v# f/ ]) o+ w- y3 @0 f, t
6 Q! z  F- q* k1 f
最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。# M' [' f- B/ d7 T- v2 \# w* X

4.一个特征码，我已经改完了，为什么还会被杀软定位出来？

这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，
( t* D, u$ |7 [5 a3 C
一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!$ I" x" }2 m. W. S% C
1 f) h8 ~% F% z7 I
这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。+ V9 }+ n9 M5 c& x' {& J6 ~
' t2 q( U1 c" [
总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。

如果大家对于myccl有些不懂的地方，跟帖子留言