【3.A.S.T】网络安全爱好者 » 原创专区 » myccl使用技巧及其注意事项

1335csy 发表于 2009-5-12 18:58

myccl使用技巧及其注意事项

当今的主流杀软都是采用特征码来查杀木马和病毒的，
*co"|4pe)O:{1xK9Y
uPI'sJ/b 作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。
%^u!R4HB&F $nI%ca/Z;U~LZ
于是，杀软的各种干扰措施出来了。Q3Xhng

.[7@'JGq:|#Hr 以下，我就来分析下常见的使用myccl的一些问题
-Ls S]x@'D D ._+},} g0W;K)\
1.为什么我的myccl总是卡在一个特征码，不能继续定位了.
&q(Yd;Jh*O Y
#x@ wp;Pw(QU&@;| 这个就是传说中的死循环了，杀软的一个常见干扰措施，
:`p,m)vs R.bu !|s$y"f@
在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。F6{-mU&op)Zl#kT
;`]1^;r.S(A`4o
现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，
6M:F'PY!P(@ s\ ^:pm b
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。
/Es\&{l\a
M4J$j3l ]y~:O2g 2.为什么我把所有的特征码改完后，杀软还是报毒？~Z)K~8zk

D"q6~;@(O a$| 这样的情况多见于国外杀软，外国杀软侧重于功能性，"_{:[-OW~

,ZL\pls%?4vW} 特征码经常是不可能一次就定位出来，需要多次的定位，
n$S?/K{MK9?F
NgB]G9h5? 当我们修改完以后，仍然需要定位未定位出来的的特征码。
6aW
zta[ M U~ `%t"Fum
G(H
3.为什么我分了100块文件，杀软全部杀了？4x2pq*p1]:M

PQ ?})cHZ r~4E^ 不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-FVuuJ
1k'Kesh q6F,T
这样也是常见的杀软干扰方式，/sz1nz8g/eL8j
A3Vp+q^l`
我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？
-r9e!TpTl
M/hR@1})X 或者反向定位，这样的效果比正向定位要好，9y-G_Ls(^'UObG

?ERU;U%jEmU3q 还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。i2i1K:B0JG8LF
8|\Mz!~-],X5l}8o2R
最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。
G+[T \$CT T!{#^\
"g$Gi
Q-zy&e j| 4.一个特征码，我已经改完了，为什么还会被杀软定位出来？,@Es&?rD9h

[q4maC$zH 这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，
MI(v ?Rj$hH1j
Ws{9_l D{,}@ k7G 一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!;|?-Z"b`Y W
^W1n+}%U;W:h*o,Ll
这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。
4p;k:f+d]a1N_
+Om]h#q~#S 总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。X7O#Z#Lz0gE Q!Dg2P
e r;?Z Vb
如果大家对于myccl有些不懂的地方，跟帖子留言[u][/u]

柔肠寸断 发表于 2009-5-12 20:56

呵呵，免杀王出场

1335csy 发表于 2009-5-13 00:47

回复 2楼 柔肠寸断 的帖子

:L :L :L :L 不要这么讲，- -！ 随手写了点

鱼儿无心 发表于 2011-12-4 17:26

拿分闪人..............

查看完整版本: myccl使用技巧及其注意事项