当今的主流杀软都是采用特征码来查杀木马和病毒的,3 E8 A D; S! ~3 u4 d
$ f' d1 M5 Y- l3 ~% \$ M, D5 N
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。 % I; M6 w7 L# }6 b( x 5 v/ R+ t* l! f; L于是,杀软的各种干扰措施出来了。 / ~) t$ V4 C/ T" Y , S& A) S' ~, D; F0 Z以下,我就来分析下常见的使用myccl的一些问题7 g- l5 g7 ?2 [- q, h; V2 l( t2 s0 p
+ q4 h) |) y p: ~1 h
1.为什么我的myccl总是卡在一个特征码,不能继续定位了. 1 v& S" H" i( a" ~% q; H4 f( v# l9 }3 U) }
这个就是传说中的死循环了,杀软的一个常见干扰措施,6 P7 D2 |% }2 D( l4 ~7 x
1 U& y9 w" R, V6 y" U: i% u
在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。 & r' `7 h0 Q+ B( K4 @. V) h* ]$ j0 |2 g% b3 n5 e1 r# Y
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码, $ D( H4 D& n3 l b3 c$ z* `8 @% y! G r% K, e# o0 ?
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。 " f/ n% D$ _8 p4 [4 j7 r4 I, P% v$ U6 o3 X4 `
2.为什么我把所有的特征码改完后,杀软还是报毒?4 b* V/ d' @: ?& k% T O
, u6 ~8 ?" {: J" q3 K1 x
这样的情况多见于国外杀软,外国杀软侧重于功能性,7 H0 f6 {$ P4 b% X* L
M% B6 {/ E% Z# Y特征码经常是不可能一次就定位出来,需要多次的定位, 9 J9 g; }) B: S6 T7 o " L8 n' V5 ^6 }8 W8 F3 Z当我们修改完以后,仍然需要定位未定位出来的的特征码。3 |# t' G F$ G M; t& P
. ?7 c6 {% R3 B( k& _3.为什么我分了100块文件,杀软全部杀了?1 v8 j. T; ^# }* j9 w
4 \0 g6 Q' R" d- y7 S- |% `4 l6 M
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_- X" r# a! R# f1 K5 F' _/ h/ `4 J8 m6 o8 D5 y4 g" d& |3 W
这样也是常见的杀软干扰方式, 7 M) m& K$ Q, ]3 r0 Z% r) O1 I. J5 G" Y) f W7 M7 g- V
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?* u5 u! e* H4 z" j. B& x3 C
4 u# c/ V) k0 b! E/ N, E或者反向定位,这样的效果比正向定位要好,7 k. r2 |- U7 B
/ R- t$ S0 H" c" N+ y# q还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。/ d% U% A5 y# c# e, {4 O
$ ?* `$ }) L+ I, o0 {
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。/ `+ { L/ z. A3 N, u
/ ]2 d7 d$ I4 F) r! N! Q6 `: A
4.一个特征码,我已经改完了,为什么还会被杀软定位出来? 2 T1 |9 c/ g& c0 m, p, c, N7 b7 Y
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,$ M+ x! m3 k' ~
( R. H$ ?$ F/ Z P, r6 m! n7 r一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-! : S/ L3 q1 Z8 I4 b6 y8 W& m; G" j2 m) L
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。3 m/ A0 U2 K$ s0 W% E+ `+ K
* E# P" N4 b+ h* d总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。: \1 Q5 l. W& m3 [/ P# s
