定位特征碼的軟件mycll

1、定位特征碼的軟件有mycll,cll, multiCCL,還有伯樂。當(dāng)然功能都差不多。不同的殺軟的特征碼是不一樣的，所以對(duì)于不同的殺軟需要定位不同個(gè)特征碼進(jìn)行修改。這樣做出的免殺比較單一，對(duì)卡巴免殺的對(duì)瑞星不一定免殺，但是修改特征碼做的免殺效果比較好。加花，加段，加密，壓縮，加殼，這些方法做出來的免殺可使用很多個(gè)殺軟，也比較簡(jiǎn)單，但是需要嘗試很多種不同的軟件版本和組合才能做出好的免殺，等具體做免殺的時(shí)候再講吧。今天講mycll的使用，需要定位的特征碼是pcshare1125中update文件夾下的PcMain.dll。打開mycll，界面如下：文件：選擇需要定位的文件目錄：生成的臨時(shí)文件的目錄

2、，默認(rèn)的是當(dāng)前目錄，文件名是OUTPUT。分塊個(gè)數(shù)：分的越多殺毒的時(shí)候越慢，建議剛開始的時(shí)候分的塊少一點(diǎn)，這樣定位的時(shí)候塊。特征區(qū)間（灰色字體）：檢測(cè)出來的特征碼的區(qū)間。一般剛定位出來的時(shí)候區(qū)間很大，我們的目的是把它定位到2個(gè)字節(jié)，因?yàn)?6進(jìn)制顯示的最小單位都是兩個(gè)字節(jié)。正向：點(diǎn)一下就成了反向了，就是從頭到位或者從尾到頭的意思，按照個(gè)人習(xí)慣。一般就是正向就是了。復(fù)合定位，單一定位：此處我們選擇復(fù)合定位，因?yàn)楝F(xiàn)在的特征碼都是復(fù)合特征碼了，沒有單一特征碼了。單一特征碼即是說文件里只有一個(gè)特征碼，復(fù)合特征碼就是說里面有好幾個(gè)特征碼。有機(jī)會(huì)再詳細(xì)解釋特征碼的原理和東西。Mycll使用起來很簡(jiǎn)單。第一步

3、，加載文件，分塊個(gè)數(shù)設(shè)置為10。Output文件路徑可以自己定義。如圖：下面顯示的是相關(guān)的信息，點(diǎn)生成。點(diǎn)yes。彈出對(duì)話框：點(diǎn)ok。然后對(duì)output文件夾進(jìn)行殺毒。報(bào)告有木馬選擇“應(yīng)用到所有”，點(diǎn)刪除。然后點(diǎn)二次生成。點(diǎn)“二次處理”，點(diǎn)ok。對(duì)output文件夾進(jìn)行殺毒。已經(jīng)沒有病毒了。如果有病毒，吧病毒刪除掉，然后繼續(xù)點(diǎn)二次處理，知道殺不到病毒為止。此處已經(jīng)沒有病毒了，再一次點(diǎn)擊“二次處理”，就會(huì)出現(xiàn)病毒的區(qū)間，就是那個(gè)特征碼分布示意圖。然后點(diǎn)擊“特征區(qū)間”，打開特征區(qū)間。特征區(qū)間上右鍵，選擇復(fù)合定位此處特征碼，或者復(fù)合精確定位此處特征碼，這兩項(xiàng)我感覺沒有說明區(qū)別。然后分塊個(gè)數(shù)還是設(shè)置為

4、10。這次我們查找的是從EFA4長(zhǎng)22c1個(gè)字節(jié)長(zhǎng)度的特征碼，這也是我們剛才定位的特征區(qū)間。我們可以看下圖，和第一次的時(shí)候開始為止和分段長(zhǎng)度都不一樣了。我們用和上面同樣的方法定位，一直定位到長(zhǎng)度為2個(gè)字節(jié)。點(diǎn)生成，殺毒。然后點(diǎn)“二次處理”，再次殺毒，再點(diǎn)“二次處理”，殺毒，“二次處理”，直到出現(xiàn)特征碼。和上面同樣的方法，加載特征區(qū)間，生成，殺毒，二次處理，殺毒，二次處理，殺毒，二次處理。直到?jīng)]有特征碼出現(xiàn)。當(dāng)文件小一點(diǎn)的時(shí)候，可以吧單位長(zhǎng)度改成2，這就定位精確了。直到定位到2個(gè)字節(jié)。如下圖：兩個(gè)特征碼。文件名:D:studysoftpcshare1125updatePcMain.dll-特征碼

5、 物理地址/物理長(zhǎng)度 如下:特征 0000FD31_00000002特征 0000FFBB_00000002特征碼分布示意圖:-M-M-特征碼定位完畢。我們定位出來的地址是文件偏移地址，exe定位出來以后用od修改的時(shí)候的地址是內(nèi)存地址，我們可以用OC這個(gè)軟件吧這個(gè)文件偏移地址轉(zhuǎn)化成內(nèi)存地址。                                                                           &#