大小:967K
更新时间:24-10-22
系统:Pc
版本:v3.0
myccl特征码定位器,全称叫做myccl复合特征码定位系统,是cll特征码定位系统的改进版本,其主要功能就是对病毒木马复合特征码进行定位,并且支持多重特征码的定位,还能够针对金山等杀毒软软件的反向定位等。不过需要注意的是:myccl复合特征码定位系统有一点不好的就是定位完得你手动修改,这里小编建议最好是先用OC转换为内存地址,然后再用OD加载,修改特征码,这样比较容易。
1、操作简单,无需安装
2、可上传本地文件并添加后缀
3、可选择本利文件目录或程序目录
4、可查看分块数量、单位长度、特征区间
5、可查看开始位置、分段长度、正向、结束位置
6、可选择复合定位或单一定位
7、支持对选择的文件进行二次处理
8、一键可清空设置目录中的所有文件
以前我们定位特征码都是应用CCL这款软件,对于特征码免杀来说确实很方便,但是随着杀毒软件的技术更新,我们所生成木马的特征码不再是单一的,而是多区多段,使用MYCCL复合特征码定位系统可以更准确。下面是一个例子,讲解了如何定位:
PE文件 节表信息 这个是黑防灰鸽子的客户端共有8个区段
文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位内存组合包)\Server.exe
首先,我们要知道现在的杀软,以瑞星查杀内存是最厉害的,瑞星内存免杀能过的话,其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软,对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。有的朋友错误的认为,给木马加壳、加花、加密,这样文件(表面)免杀了,然后再用这个查找内存特征码,这样理解是错误的。
现在我们开始进行黑防灰鸽子的文件特征码定位查找:
首先我们要生成一个无壳的鸽子客户端,我已经生成好了。打开MYCCL复合特征码定位器软件,把我们要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
95%的特征码都是在这个区段里。
正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
这里一共有3大段,我们看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?我们继续。使它更精确一些。
选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有要说明的是我们的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样我们就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是我们所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
我们测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置,偏移量是2个字节,我们用0填充,为了节余时间,其他的你们填充吧。看到了,修改正确。
1、MyCCL复合特征码定位系统最新版可手动添加本地文件并对文件添加后缀
2、MyCCL复合特征码定位系统最新版支持使用多重复特征代码来对付特征代码修改
3、可更改程序的守护特征码
4、支持手动填写代码段code或者txt
5、程序会自动记录从第几个文件开始查到病毒
6、程序把生成的文件全部装载到内存中
7、精确的对特征码进行识别
8、使用二次处理功能可以反复的检测文件的安全性
9、支持对特征码进行数量划分
v3.0版本
1、加快样本生成速度
2、改进了内存定位代码.
3、删除背景音乐.
同类热门
类似软件
北京鸿业CAD病毒查杀工具105K603人在用 CAD病毒查杀工具是由北京鸿业科技有限公司专门针对cad软件研发的一款功能实用的病毒查杀工具。它可以利用急救箱进行紧急救援,清除一切可疑木马和程序,修正被篡改的CAD文件或者释放包含恶意代码的文件,并主动调用360安全卫士最强防御类功能,防止类似病
查看金山毒霸cad病毒专杀工具695K350人在用 金山毒霸cad病毒专杀工具是专门为cad打造的一款专业杀毒工具。该软件的功能十分强大,利用金山毒霸强大的扫描引擎,能够非常迅速的扫描出系统当中隐藏的病毒文件井进行查杀,然后进行针对性的修复,彻底解决在使用cad中的顽固病毒,使你的cad操作更加流畅
查看max杀毒卫士(max病毒查杀工具)54.24M1425人在用max杀毒卫士针对3dsmax软件而开发的一款max病毒查杀工具,拥有max病毒查杀,max杀毒清除,全盘主动防御,全盘无敌免疫等功能,能够轻松解决以下问题,包括Max文件无缘无故出现问题-运行变慢、无法撤销(Ctrl+Z)、无法保存、经常崩溃;无法创建
查看热门标签
网友评论0人参与,0条评论
最新排行
roguekiller(流氓软件杀手)46.31Mv15.18.0.0官方版 roguekiller官方版是一款专业的进程扫描程序。软件中的功能十分强大,能够很好的帮助用户轻松解决各种流氓软件的困扰,非常实用。不仅如此,该软件还能够针对电脑正在运行的软件程序、系统文件、hosts、代理、dns、档案、mbr、驱动程序等进行全
查看