@@给大家发5个免杀教程--菜鸟进@@(3)
@@给大家发5个免杀教程--菜鸟进@@(3)第三课 详解特征码定位
特征码定位分为文件特征码定位和内存特征码定位等
文件特征码定位
文件特征码定位的工具有MyCCL和MutiCCL
MyCCL定位特征码
正向定位和反向定位出来的特征码是不一样的,这是为什么呢
举个例子,警察抓人不可能单靠一个人的某一个特点来判定某个人就是嫌疑犯吧。杀软也是这样的,它不能光凭看到了木马某个地方像木马就判定这是个木马。杀软一般是从木马里采集两个地方A和B,如果A、B同时存在才判定这的确是个木马。所谓的正向定位和反向定位说的是填充的方向不同而已
正向定位和反向定位灵活运用可以让免杀更简单,比如有一个正向定位出来的特征码你不知道怎么去改,那么你可以先把其他的特征码改完,再进行反向定位,那样就可以定位出来另外一个特征码了。再就是定位nod32一般都是反向定位的,正向定位出来的特征码一般都是改不了的
①正向定位
比如第一个文件从1000一直填充到末尾,第二个文件从2000一直填充到末尾,第三个文件从3000一直填充到末尾…
正向定位选择MyCCL界面的“正向”即可
②反向定位
比如第一个文件从 -1000(文件末尾的倒数1000字节)一直填充到开始位置(400),第二个文件从 -2000一直填充到开始位置,第三个文件从 -3000一直填充到开始位置…
反向定位选择MyCCL界面的“反向”即可
(2)MutiCCL定位特征码及其特征码保护定位的方法
MutiCCL_f定位特征码
MutiCCL定位出来的特征码比MyCCL要准确些,但定位的速度较慢,而且是cmd界面定位,有些朋友是用不习惯的…
一般还是先用MyCCL定位,遇到不好改的再用MutiCCL来定位
②特征码保护定位的方法
定位的时候,如果遇到一个不好改的地方,那么就可以把这个不好改的地方保护起来再进行定位。这样就会定位出来另外一个特征码了。MyCCL的反向定位和MutiCCL的保护定位给了我们更多的选择,我们要学会灵活使用这些方法
2.内存特征码定位
现在说的内存特征码定位一般都是指瑞星的内存特征码,其他的杀软现在还没有内存特征码查杀的功能。
对于瑞星的内存特征码,我现在见到的几乎都定位在木马里的字符串上,所以定位的时候,多注意木马里的字符串就可以了
手工定位瑞星内存特征码的方法也有两个,第一个方法是单纯的用OD来找,第二个方法就是用C32配合OD来找,我觉得第二个方法比较简单点,所以这里就介绍这个方法
做内存特征码定位之前,首先得保证你的木马服务端表面已经不被查杀了,也就是说用杀软直接查杀已经杀不到了。这样才能开始做内存特征码定位
定位内存特征码的方法叫做“二分法”,也就是每次定位的时候,把代码分成两段用C32来填充,如果填充掉了一个地方还被查杀,那么就说明内存特征码不在这段。如果被填充了之后免杀了,那么就说明被填充的地方包含内存特征码
工具定位内存特征码的方法也有两种:
(1) MyCCL定位内存特征码
MyCCL目录里有一个 TK.Loader.exe 文件,这个就是用来定位内存特征码的。
定位的时候右键点击目录,就会提示“用TK.Loader.exe 打开目录”,然后点击全部载入,然后用瑞星的内存查杀进行查杀。把被查出病毒的文件手动删除掉,然后点“二次处理”…
(2) multiCCL_m定位内存特征码
3. 非PE文件的特征码定位
因为杀软只对特定后缀的木马查杀,所以我们得把生成的文件改名
新建个批处理文件rename.bat
里面写入 rename 0* 0*.asp 就可以把生成的木马加后缀了
定位的方法和文件定位的方法差不多
下载地址:
http://www.hackfans.com.cn/video/shikan/miansha/第三课+详解特征码定位.rar lz
第二讲呢???
页:
[1]