[原创文章] myccl使用技巧及其注意事项

myccl, 事项, 技巧

当今的主流杀软都是采用特征码来查杀木马和病毒的，
9 ?1 M! E- p; v, X3 \+ s7 g
作为定位特征码的利器--myccl，自然被各大杀软研究的彻彻底底了。
4 k6 Y2 i* Q/ y. F. j+ c
于是，杀软的各种干扰措施出来了。2 Q, M: t. Z% C- I
  Z& |0 q- W1 B. s: f9 x  F# O
以下，我就来分析下常见的使用myccl的一些问题; d* l% z* p7 u) R( |* q& d" D
% U3 D7 G% x# j. N& b, g
1.为什么我的myccl总是卡在一个特征码，不能继续定位了.$ ~5 m% J: ~3 `8 n1 ^

这个就是传说中的死循环了，杀软的一个常见干扰措施，, h6 [$ n/ J& f7 I
/ B% r6 R; y$ \
在早期，对付这样的情况我们可以尝试入口点+1法，现在的效果不大了，但是不妨一试。9 d& ^# h8 L6 A4 i8 I. Q7 S
5 R$ B; _, I. O& Q- d
现在对付这样的情况可以这样，加个花指令再定位，或者定位这个已经知道的特征码，
$ ~  H! H3 [, T
不要一直卡在这里，直接定位这死循环特征码到长度为2为止，改完后继续定位。' ^8 }+ E5 Y% u3 k

2.为什么我把所有的特征码改完后，杀软还是报毒？
7 V" m# G# v' k$ _0 d
这样的情况多见于国外杀软，外国杀软侧重于功能性，
7 c# ^8 k( c' s2 Z3 j# m4 h( j# r
特征码经常是不可能一次就定位出来，需要多次的定位，

当我们修改完以后，仍然需要定位未定位出来的的特征码。7 L+ v! s- l: c' a  |- l* g* m
* h6 L! {% K8 h5 P
3.为什么我分了100块文件，杀软全部杀了？$ |* d) p: g$ Z9 H2 R; Q0 \0 x" ~1 e; Q
5 ~. c; O. r2 \7 h
不知道大家见过这样的事没有，我们只分了50块，但是杀软却杀了150块。 -_-
+ U8 M% Q- T* |6 n& E: A
这样也是常见的杀软干扰方式，8 D! `1 K# X! j4 Y, @9 }
( w" C5 J* N2 l% m/ ~( {
我们可以这样，在填充字符那里，选择90，不要默认的00，人人都用00填充，当杀软是白痴？' B5 k. c3 H9 W% w0 z
3 ]; z' X# t2 u& Y' ]! R7 C
或者反向定位，这样的效果比正向定位要好，
% ?' b3 _( l5 J+ E) ]. l
还有就是杀软的设置了，这样的情况建议先把杀软的高启发扫描先关了，过了再开启高启发。$ t  o* Y; j0 F& k8 t- Z

最后，分块数量这里，不要太多，40~~~50就差不多了，我一般是这样定位的。

4.一个特征码，我已经改完了，为什么还会被杀软定位出来？
  o# Z. t7 O4 o! R3 P* D; v
这样的情况见于卡巴，我做暗组的时候遇见过，记忆犹新，/ O. k* \7 R3 q) {. ]; X
, o  `7 O& n  k9 j
一个特征码，已经被我修改了，继续定位仍然是这个特征码。-_-!

这样的情况，我们一般是反向定位，定位出结果和正向结果是不一样的，但是一样可以达到免杀的效果。4 q+ q+ k* l. |( C
9 Y4 [8 ~- X; @- p: C" f8 v
总结至此吧，myccl是一款非常优秀的定位工具，大家好好利用，在现在的主流杀软世界里，是可以定位出绝大部分木马特征码的。

如果大家对于myccl有些不懂的地方，跟帖子留言