[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，. Q6 }9 J/ s' ?& R# G1 [+ B8 R
) g* ]$ E- B7 F3 O1 q
作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。
2 K O! i# [% o5 d7 B
于是，杀软的各种干扰措施出来了。
1 V6 [% U9 E/ d1 A( t" ?) a$ z% I
以下，我就来分析下常见的使用myccl的一些问题

1.为什么我的myccl总是卡在一个特征码，不能继续定位了.

这个就是传说中的死循环了，杀软的一个常见干扰措施，4 I/ o% C2 |/ A) A! J

在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。: M' V8 k8 {9 Q7 @% C/ i; v4 w; |4 N1 ?

现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，& z* H# g) h# {1 G$ A

不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。
& a- K" j# _2 y! o# d; J9 H
2.为什么我把所有的特征码改完后，杀软还是报毒？
4 v3 f! o3 F6 N5 S& Q# G4 e
这样的情况多见于国外杀软，外国杀软侧重于功能性，

特征码经常是不可能一次就定位出来，需要多次的定位，
2 J+ h2 A2 I0 `/ l2 w6 d; P2 R
当我们修改完以后，仍然需要定位未定位出来的的特征码。

3.为什么我分了100块文件，杀软全部杀了？! x/ W- p1 A* |0 d, r
* R' c4 l" v9 l9 E+ W& Q* V1 g
不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-* Z9 H8 s) D0 }
* H) j2 z) W2 {4 N( M3 Z2 i# Z0 u
这样也是常见的杀软干扰方式，

我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？# z) j; k+ x1 K" K+ _+ I E

或者反向定位，这样的效果比正向定位要好，- `1 S3 J! {4 ?$ k
0 p" T) V4 i+ N0 o, H
还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。
) A6 V" `/ W4 e9 J. k
最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。
( K+ R' ^9 }' ]0 B: B% M( l
4.一个特征码，我已经改完了，为什么还会被杀软定位出来？
/ Y+ H. X. ^: Q; ^5 k# k
这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，" q! T2 K3 K% U$ T- \) V

一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!

这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。

总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。

如果大家对于myccl有些不懂的地方，跟帖子留言