|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
当今的主流杀软都是采用特征码来查杀木马和病毒的,8 e+ s( X) n) U; b! B) n2 v
& K( Y( Z0 v, |# ?, Q作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。5 f" [' m; K0 w/ m" Z- h
. E+ \1 [$ ^2 u8 Q `于是,杀软的各种干扰措施出来了。; N* h: C0 h) X- ~- t
' a2 S" {8 _1 @: {8 t
以下,我就来分析下常见的使用myccl的一些问题2 H* _8 d/ W' W4 I
8 D1 `, _- U6 ]1.为什么我的myccl总是卡在一个特征码,不能继续定位了.! A5 f5 C1 z' O6 t
9 p* {- Q9 u5 L9 N
这个就是传说中的死循环了,杀软的一个常见干扰措施,' e+ T, a" w9 K* J
( \; s. e3 H% E x9 \9 g在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。
2 u; G O* w6 y# O7 P5 }% r+ X+ M1 j+ W0 D1 X H
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,' S' G3 d8 [" c* }) S! G
) H/ @' [$ W+ ]
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。
( V* h1 K& t, s9 ? [1 g1 f3 p& R$ N. X3 m/ \0 b2 z
2.为什么我把所有的特征码改完后,杀软还是报毒?
. _# f! f0 a6 V" Q
6 A9 I6 m, R, F' R6 G. i这样的情况多见于国外杀软,外国杀软侧重于功能性, J, G" r H5 b( O
7 c& b4 U2 z. K `特征码经常是不可能一次就定位出来,需要多次的定位,
+ _8 B7 ]; }6 Z2 G7 a0 n# Z5 \1 ^5 U6 _/ \8 ~
当我们修改完以后,仍然需要定位未定位出来的的特征码。
$ k/ [' d1 _ S: m9 v/ i& h+ O3 e+ ~# a' `( u. \/ S& l
3.为什么我分了100块文件,杀软全部杀了?
/ v( {; I! i9 F4 g2 w! V b2 M
3 \( d# Y$ Z( G不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
* x9 q7 b2 G: z0 k" u: |' }% l2 J5 R1 j# t1 ~# b& |; L
这样也是常见的杀软干扰方式,2 u1 v& ^% O1 Q1 j
5 [: M( n$ }' [
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?" E Q2 v/ c3 @; m. h
6 m' V0 {& n1 W/ \: T4 g# n" ^或者反向定位,这样的效果比正向定位要好,
: O' b4 H' U; W
7 w/ k( }1 I$ @ [. B5 C$ `2 O$ b还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
- h6 t, b: F* d, U* [$ t: x$ [3 V( H/ k
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。6 Y# A7 w1 @- L3 I& N' w
- h. b/ J* C, J6 f% n4.一个特征码,我已经改完了,为什么还会被杀软定位出来?9 W$ S9 `* K6 y
- F7 W0 W2 ?! M/ o9 T+ T V0 Q8 F
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,! Y! n6 E6 ~' b$ ~ ]4 q
% X0 S3 Y( h+ B- B2 B
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
8 k# [ g& i9 y/ {$ g- f2 z- O% u+ { W% V% Y, d
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
" }+ j% o% a b3 d) j4 J0 N; S% f- w
总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
4 I/ L- N+ r/ Z5 y" J% w5 p
& D( \9 Z# F$ ^如果大家对于myccl有些不懂的地方,跟帖子留言 |
|
发表于 2009-5-12 18:58
| 
发表于 2009-5-12 20:56
| 