使用帮助
以前知识兔定位特征码都是应用CCL这款软件,对于特征码免杀来说确实很方便,但是随着杀毒软件的技术更新,知识兔所生成木马的特征码不再是单一的,而是多区多段,使用MYCCL复合特征码定位系统可以更准确。下面是一个例子,讲解了如何定位:PE文件 节表信息 这个是黑防灰鸽子的客户端共有8个区段
文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位内存组合包)\Server.exe
首先,知识兔要知道现在的杀软,以瑞星查杀内存是最厉害的,瑞星内存免杀能过的话,其他大多数杀毒软件的内存都基本能过的。所以今天知识兔就以瑞星杀软,对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种,知识兔要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。有的朋友错误的认为,给木马加壳、加花、加密,这样文件(表面)免杀了,然后再用这个查找内存特征码,这样理解是错误的。
现在知识兔开始进行黑防灰鸽子的文件特征码定位查找:
首先知识兔要生成一个无壳的鸽子客户端,我已经生成好了。打开MYCCL复合特征码定位器软件,把知识兔要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充知识兔默认不写;开始位置知识兔写这里的:
95%的特征码都是在这个区段里。
正向(反向)都可以,无所谓。结束位置是自动的,知识兔不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,知识兔对生成的文件用瑞星进行查杀并删除。知识兔继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
这里一共有3大段,知识兔看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?知识兔继续。使它更精确一些。
选其中一个,复合定位此区间,它默认的分块个数太大,知识兔重新设置分块,知识兔设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,知识兔继续对它进行缩小定位,步骤和上面一样。知识兔看单位长度已经在2了,所以知识兔就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,知识兔生成的文件数也越多,生成的文件数太多的话,知识兔的电脑会受不了的呵呵。知识兔所要的精确定位就是偏移量在2或4,太大知识兔无法进行特征码的修改,下面知识兔继续把其他大的偏移量缩小,步骤是一样的。
这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有要说明的是知识兔的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样知识兔就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是知识兔所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
知识兔测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。知识兔找到特征码所在的位置,偏移量是2个字节,知识兔用0填充,为了节余时间,其他的你们填充吧。看到了,修改正确。
>
下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验