1. 首页
  2. 安全技术
  3. 网络攻防
  4. 特征码定位MYCLL特征码定位

特征码定位MYCLL特征码定位

上传者: 2018-12-27 02:45:42上传 RAR文件 1022.08KB 热度 49次
本来想写如何做免杀,但是要是单个步骤贴图的话太的多了,想了想,还是先把需要的软件都介绍一边吧,然后再讲的时候就比较容易了。 这次我们讲如何使用mycll定位特征码。 定位特征码的软件有mycll,cll, multiCCL,还有伯乐。当然功能都差不多。不同的杀软的特征码是不一样的,所以对于不同的杀软需要定位不同个特征码进行修改。这样做出的免杀比较单一,对卡巴免杀的对瑞星不一定免杀,但是修改特征码做的免杀效果比较好。加花,加段,加密,压缩,加壳,这些方法做出来的免杀可使用很多个杀软,也比较简单,但是需要尝试很多种不同的软件版本和组合才能做出好的免杀,等具体做免杀的时候再讲吧。 今天讲mycll的使用,需要定位的特征码是pcshare1125中update文件夹下的PcMain.dll。 打开mycll,界面如下: 文件:选择需要定位的文件 目录:生成的临时文件的目录,默认的是当前目录,文件名是OUTPUT。 分块个数:分的越多杀毒的时候越慢,建议刚开始的时候分的块少一点,这样定位的时候块。 特征区间(灰色字体):检测出来的特征码的区间。一般刚定位出来的时候区间很大,我们的目的是把它定位到2个字节,因为16进制显示的最小单位都是两个字节。 正向:点一下就成了反向了,就是从头到位或者从尾到头的意思,按照个人习惯。一般就是正向就是了。 复合定位,单一定位:此处我们选择复合定位,因为现在的特征码都是复合特征码了,没有单一特征码了。单一特征码即是说文件里只有一个特征码,复合特征码就是说里面有好几个特征码。有机会再详细解释特征码的原理和东西。 Mycll使用起来很简单。 第一步,加载文件,分块个数设置为10。Output文件路径可以自己定义。如图: 下面显示的是相关的信息,点生成。 点yes。弹出对话框: 点ok。然后对output文件夹进行杀毒。 报告有木马选择“应用到所有”,点删除。然后点二次生成。点“二次处理”, 点ok。对output文件夹进行杀毒。 已经没有病毒了。如果有病毒,吧病毒删除掉,然后继续点二次处理,知道杀不到病毒为止。 此处已经没有病毒了,再一次点击“二次处理”,就会出现病毒的区间,就是那个特征码分布示意图。 然后点击“特征区间”,打开特征区间。特征区间上右键,选择复合定位此处特征码,或者复合精确定位此处特征码,这两项我感觉没有说明区别。 然后分块个数还是设置为10。这次我们查找的是从EFA4长22c1个字节长度的特征码,这也是我们刚才定位的特征区间。我们可以看下图,和第一次的时候开始为止和分段长度都不一样了。我们用和上面同样的方法定位,一直定位到长度为2个字节。 点生成,杀毒。然后点“二次处理”,再次杀毒,再点“二次处理”,杀毒,“二次处理”,直到出现特征码。 和上面同样的方法,加载特征区间,生成,杀毒,二次处理,杀毒,二次处理,杀毒,二次处理。直到没有特征码出现。当文件小一点的时候,可以吧单位长度改成2,这就定位精确了。 直到定位到2个字节。如下图: 两个特征码。 文件名:D:\studysoft\pcshare1125\update\PcMain.dll ------------------------------------------------ 特征码 物理地址/物理长度 如下: [特征] 0000FD31_00000002 [特征] 0000FFBB_00000002 特征码分布示意图: [--------------------------------------------------] [--------------------------------------------------] [--------------------------------------------------] [-----------------------------------M-M------------] [--------------------------------------------------] 特征码定位完毕。我们定位出来的地址是文件偏移地址,exe定位出来以后用od修改的时候的地址是内存地址,我们可以用OC这个软件吧这个文件偏移地址转化成内存地址。 正向:点一下就成了反向了,就是从头到位或者从尾到头的意思,按照个人习惯。一般就是正向就是了。 复合定位,单一定位:此处我们选择复合定位,因为现在的特征码都是复合特征码了,没有单一特征码了。单一特征码即是说文件里只有一个特征码,复合特征码就是说里面有好几个特征码。有机会再详细解释特征码的原理和东西。 Mycll使用起来很简单。 第一步,加载文件,分块个数设置为10。Output文件路径可以自己定义。如图: 下面显示的是相关的信息,点生成。 点yes。弹出对话框: 点ok。然后对output文件夹进行杀毒。 报告有木马选择“应用到所有”,点删除。然后点二次生成。点“二次处理”, 点ok。对output文件夹进行杀毒。 已经没有病毒了。如果有病毒,吧病毒删除掉,然后继续点二次处理,知道杀不到病毒为止。 此处已经没有病毒了,再一次点击“二次处理”,就会出现病毒的区间,就是那个特征码分布示意图。 然后点击“特征区间”,打开特征区间。特征区间上右键,选择复合定位此处特征码,或者复合精确定位此处特征码,这两项我感觉没有说明区别。 然后分块个数还是设置为10。这次我们查找的是从EFA4长22c1个字节长度的特征码,这也是我们刚才定位的特征区间。我们可以看下图,和第一次的时候开始为止和分段长度都不一样了。我们用和上面同样的方法定位,一直定位到长度为2个字节。 点生成,杀毒。然后点“二次处理”,再次杀毒,再点“二次处理”,杀毒,“二次处理”,直到出现特征码。 和上面同样的方法,加载特征区间,生成,杀毒,二次处理,杀毒,二次处理,杀毒,二次处理。直到没有特征码出现。当文件小一点的时候,可以吧单位长度改成2,这就定位精确了。 直到定位到2个字节。如下图: 两个特征码。 文件名:D:\studysoft\pcshare1125\update\PcMain.dll ------------------------------------------------ 特征码 物理地址/物理长度 如下: [特征] 0000FD31_00000002 [特征] 0000FFBB_00000002 特征码分布示意图: [--------------------------------------------------] [--------------------------------------------------] [--------------------------------------------------] [-----------------------------------M-M------------] [--------------------------------------------------] 特征码定位完毕。我们定位出来的地址是文件偏移地址,exe定位出来以后用od修改的时候的地址是内存地址,我们可以用OC这个软件吧这个文件偏移地址转化成内存地址。
用户评论
码姐姐匿名网友 2018-12-27 02:45:42

写的有点乱,看起开很费劲儿。。。难道是我水平不够?

码姐姐匿名网友 2018-12-27 02:45:42

木马什么的真心无语了~~~~

码姐姐匿名网友 2018-12-27 02:45:42

都太假了,不是真心想教的

码姐姐匿名网友 2018-12-27 02:45:42

擦擦擦 木马 还是个半成品的木马 直接在C盘根目录下了