标题:
[原创文章]
myccl使用技巧及其注意事项
[打印本页]
作者:
1335csy
时间:
2009-5-12 18:58
标题:
myccl使用技巧及其注意事项
当今的主流杀软都是采用特征码来查杀木马和病毒的,
) r) D! o* h) R* H# Q+ Y' F
& B5 \) N9 I* }: x7 e( F) ?0 U( q
作为定位特征码的利器--myccl,自然被各大杀软研究的彻彻底底了。
; D7 B* {9 V' g. J) t
* M0 r' n1 ~) i% D, K* L: Y
于是,杀软的各种干扰措施出来了。
5 @& ^0 j8 T. ^% c/ u7 G% d/ C
# z9 j; R+ C0 E T; u
以下,我就来分析下常见的使用myccl的一些问题
4 G' X7 d' M) j" F
m/ p* ^5 O0 f& g# U
1.为什么我的myccl总是卡在一个特征码,不能继续定位了.
6 I2 y5 f" o+ \. i
7 `. I# l( b/ n5 w; J7 F3 w' z
这个就是传说中的死循环了,杀软的一个常见干扰措施,
2 z" U6 d8 _2 z9 f
6 X) o5 }4 I! G d/ K5 ^: @9 }
在早期,对付这样的情况我们可以尝试入口点+1法,现在的效果不大了,但是不妨一试。
- U& a; i1 I4 d9 g$ d$ C0 L) t
/ \6 i# K. y* o6 V9 y b- N/ j4 I
现在对付这样的情况可以这样,加个花指令再定位,或者定位这个已经知道的特征码,
( ~5 h9 |8 d* T j( X H! R- ^
) G/ d d: `$ W9 T/ r4 s. s
不要一直卡在这里,直接定位这死循环特征码到长度为2为止,改完后继续定位。
7 g. D0 T8 R/ t+ n& }- {
) d+ O: f: q U! u6 T7 r
2.为什么我把所有的特征码改完后,杀软还是报毒?
( {, Q: u# G5 j3 N. Z, m! ~
. v8 l. l4 ]$ @3 H
这样的情况多见于国外杀软,外国杀软侧重于功能性,
- i" E' V5 a' ] Q4 j
) ?. S' ?8 \: R1 X8 [* x
特征码经常是不可能一次就定位出来,需要多次的定位,
6 W1 y2 @* I' }' o2 d- O" B
/ x0 y: F; _8 B0 Y1 \: S0 |
当我们修改完以后,仍然需要定位未定位出来的的特征码。
/ i- G* t4 Z: h& l% Y: Z9 X O9 L
) }8 k k* [+ U6 k1 T: n; I
3.为什么我分了100块文件,杀软全部杀了?
9 r, j, L2 ], O- m6 u# q' {) G/ M: `
7 V/ O. ]) h" z$ c
不知道大家见过这样的事没有,我们只分了50块,但是杀软却杀了150块。 -_-
9 g% D5 K$ [( ~, C+ \2 w
7 [7 J! u$ p! E, u
这样也是常见的杀软干扰方式,
+ }; |% f1 u: Q4 a4 n* B9 l
: H) r5 F" s+ a# z- l
我们可以这样,在填充字符那里,选择90,不要默认的00,人人都用00填充,当杀软是白痴?
/ K* |& o: m/ C% S1 z) a! a* f
) y- T" B/ ]* ]( f# [6 C' L
或者反向定位,这样的效果比正向定位要好,
# n$ B9 E# E9 _8 q. t
* N0 I7 Q8 r- Z* q; u
还有就是杀软的设置了,这样的情况建议先把杀软的高启发扫描先关了,过了再开启高启发。
) G: r, n8 Z( ?& _* j
# `! b( e3 e' r8 n; m2 U; h+ a6 a
最后,分块数量这里,不要太多,40~~~50就差不多了,我一般是这样定位的。
8 C% x$ i, r3 x( ?1 y& C
9 w8 f/ j Y4 z
4.一个特征码,我已经改完了,为什么还会被杀软定位出来?
0 {/ r9 \: S: @/ Q$ E
1 @+ e& a3 d$ M1 i' n$ Z
这样的情况见于卡巴,我做暗组的时候遇见过,记忆犹新,
. T3 _3 b3 T% f- t
4 R6 Q8 j' l% w% b3 V9 \: w4 s/ G4 P- W
一个特征码,已经被我修改了,继续定位仍然是这个特征码。-_-!
! r$ a$ I O3 b9 c8 _% b& G
Q8 L1 _1 P; S# x
这样的情况,我们一般是反向定位,定位出结果和正向结果是不一样的,但是一样可以达到免杀的效果。
+ `& t- d' [# o
+ b8 V( j8 j4 L. y1 p8 N, Q
总结至此吧,myccl是一款非常优秀的定位工具,大家好好利用,在现在的主流杀软世界里,是可以定位出绝大部分木马特征码的。
; [$ m% S) s, T9 X: _! T- d o
* e) m$ }; a+ G. [3 n; y) C
如果大家对于myccl有些不懂的地方,跟帖子留言
作者:
柔肠寸断
时间:
2009-5-12 20:56
呵呵,免杀王出场
作者:
1335csy
时间:
2009-5-13 00:47
标题:
回复 2楼 柔肠寸断 的帖子
:L :L :L :L 不要这么讲,- -! 随手写了点
作者:
鱼儿无心
时间:
2011-12-4 17:26
拿分闪人..............
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
