MYCCL復合特征碼定位器及其使用教程[通俗易懂]

復合特征碼輔助定位工具

MyCCL by:Tanknight

——————————- 　　自從CCL問世以來，特征碼修改已經成為了對付殺毒軟件的常用手法，但是所謂魔高一尺，道高一丈殺毒軟件開始使用多重復合特征碼來對付特征碼修改就是說只有你同時改掉程序所有的守護特征碼 此程序才不被殺。 　　所以本程序的作用是進行多重特征碼的定位,并實現自動化。 　　載入程序，然后分塊寫10(剛開始應先少數量劃分，先確定大范圍)。起使位置最好寫代碼段code,或者txt然后程序會把代碼段分成10塊，然后從第1塊開始恢復，并生成文件。生成完畢后，用殺毒軟件查殺生成文件的目錄清除所有帶毒文件(如果殺毒軟件是按順序殺毒的話，可以在殺掉第一個文件的時候就停止殺毒，此時特征碼已經找到)。然后點擊[二次處理]程序會自動記錄第幾個文件開始查到毒了，那個就是第1個特征碼。程序會把有特征碼的地方添0 并記錄在右面，然后把后面的文件分10塊開始從頭恢復。這樣不斷進行(反復使用[二次處理]和殺毒)守護特征的大范圍就找出了并記錄在右面。
　　因為分為10塊所以每塊都比較大，這時候需要進行精確。在右面點第1個特征碼選擇精確此特征碼然后此處就會被寫入分析器里。分塊可以寫大一點比如100這樣多次進行精確特征碼的范圍就出來了。
　　關于內存復合特征碼定位原理和文件定位是相同的，只是用程序把生成的文件全部裝載到內存中去了，然后用殺毒軟件對內存進行查殺。找到報毒的文件，然后手工刪除或者在特征碼設置中手動添加即刻。其余操作和文件定位相同。 以前我們定位特征碼都是應用CCL這款軟件，對于特征碼免殺來說確實很方便，但是隨著殺毒軟件的技術更新，我們所生成***的特征碼不再是單一的，而是多區多段，比如以前我們用OD可以一半一半法定位特征碼，但是現在，你把所有區段都NOP了，也是查不出來特征碼的，為什么呢？因為現在的殺毒軟件都是把文件特征碼和內存特征碼混在一起，并且設定的特征碼位置比以前多了很多，并不象以前只是把特征碼定位在CODE里而且只有一個。例如： PE文件 節表信息 這個是黑防灰鴿子的客戶端共有8個區段 文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位內存組合包)\Server.exe

cellpadding="3" border="1">

節名稱 起始位置 物理長度 CODE 00000400 000A1200 以前特征碼多數在這個區段，并且只有一個 DATA 000A1600 00002C00 現在的特征碼有很多處。 BSS 000A4200 00000000 .idata 000A4200 00003400 .tls 000A7600 00000000 rdata 000A7600 00000200 .reloc 000A7800 0000A400 .rsrc000B1C00 00008200

　　首先，我們要知道現在的殺軟，以瑞星查殺內存是最厲害的，瑞星內存免殺能過的話，其他大多數殺毒軟件的內存都基本能過的。所以今天我們就以瑞星殺軟，對MYCCL進行講解。修改特征代碼免殺一般分為文件和內存二種，我們要先查找文件特征碼進行免殺（表面免殺），然后才可以查找內存特征代碼進行免殺。有的朋友錯誤的認為，給***加殼、加花、加密，這樣文件（表面）免殺了，然后再用這個查找內存特征碼，這樣理解是錯誤的。 現在我們開始進行黑防灰鴿子的文件特征碼定位查找：

　　首先我們要生成一個無殼的鴿子客戶端，我已經生成好了。打開MYCCL復合特征碼定位器軟件，把我們要查找的鴿子打開，帶后綴不要選（這個在查找內存特征碼時在選上）。目錄，我在桌面已經建一個了，大家可以隨便建一個。分塊個數設置在50—100之間。單位長度和填充我們默認不寫；開始位置我們寫這里的：

區段 開始位置 分段長度 CODE 00000400 000A1200

　　95%的特征碼都是在這個區段里。

　　正向（反向）都可以，無所謂。結束位置是自動的，我們不用管它。選復合定位，因為特征碼不是一個，會有很多個，所以選復合定位。開始點生成。2次處理前，我們對生成的文件用瑞星進行查殺并刪除。我們繼續2次處理，用瑞星殺毒刪除，直到查不出為止。

特征碼 物理地址/物理長度 如下:

[特征] 00092E3D_00001DB3 [特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

　　這里一共有3大段，我們看其中一個， 00092E3D這個是特征代碼；00001DB3這個是此特征代碼的偏移量，偏移量太大了，怎么辦？我們繼續。使它更精確一些。

　　選其中一個，復合定位此區間，它默認的分塊個數太大，我們重新設置分塊，我們設置100，重復上面的步驟。

　　剛才的偏移量由00001DB3縮小到0000004C。但是它還是比較大，我們繼續對它進行縮小定位，步驟和上面一樣。我們看單位長度已經在2了，所以我們就不用進行分塊設置了，這里大家也看到了，分塊越大，單位長度越小，但是分塊越多，我們生成的文件數也越多，生成的文件數太多的話，我們的電腦會受不了的呵呵。我們所要的精確定位就是偏移量在2或4，太大我們無法進行特征碼的修改，下面我們繼續把其他大的偏移量縮小，步驟是一樣的。

[特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

　　這二個是大的偏移量，你們應該知道怎么精確的去定位了吧。 　　還有要說明的是我們的分塊個數是怎么設置的，大的文件（比如鴿子700多k）一般設置在100—200之間，小的文件分塊個數設置在100以內就可以了，二次處理的時候會出現分塊個數是100多點（比如114），單位長度是2，這樣我們就不需要在改回分塊個數是100了，因為單位長度2或者是4，正好是我們所需要的大小。 這是我定位好的了，一共有9處：

特征碼 物理地址/物理長度 如下:

[特征] 000949A7_00000002 [特征] 00094B3D_00000002 [特征] 000973E9_00000002 [特征] 0009CBBC_00000002 [特征] 0009F5A6_00000002 [特征] 000A0A46_00000002 [特征] 000A0DD2_00000002 [特征] 000A1250_00000002 [特征] 000A12A2_00000002

　　我們測試一下，看看是否正確。用WinHex進行修改，也可以用UltraEdit或者C32Asm都可以。我們找到特征碼所在的位置，偏移量是2個字節，我們用0填充，為了節余時間，其他的你們填充吧?？吹搅?，修改正確。

轉載于:https://blog.51cto.com/suguiyang/269779