myccl復(fù)合特征碼定位系統(tǒng) v3.0綠色版

myccl特征碼定位器，全稱(chēng)叫做myccl復(fù)合特征碼定位系統(tǒng)，是cll特征碼定位系統(tǒng)的改進(jìn)版本，其主要功能就是對(duì)病毒木馬復(fù)合特征碼進(jìn)行定位，并且支持多重特征碼的定位，還能夠針對(duì)金山等殺毒軟軟件的反向定位等。不過(guò)需要注意的是：myccl復(fù)合特征碼定位系統(tǒng)有一點(diǎn)不好的就是定位完得你手動(dòng)修改，這里小編建議最好是先用OC轉(zhuǎn)換為內(nèi)存地址，然后再用OD加載，修改特征碼，這樣比較容易。

軟件特點(diǎn)

1、操作簡(jiǎn)單，無(wú)需安裝

2、可上傳本地文件并添加后綴

3、可選擇本利文件目錄或程序目錄

4、可查看分塊數(shù)量、單位長(zhǎng)度、特征區(qū)間

5、可查看開(kāi)始位置、分段長(zhǎng)度、正向、結(jié)束位置

6、可選擇復(fù)合定位或單一定位

7、支持對(duì)選擇的文件進(jìn)行二次處理

8、一鍵可清空設(shè)置目錄中的所有文件

myccl復(fù)合特征碼定位系統(tǒng)使用幫助

以前我們定位特征碼都是應(yīng)用CCL這款軟件，對(duì)于特征碼免殺來(lái)說(shuō)確實(shí)很方便，但是隨著殺毒軟件的技術(shù)更新，我們所生成木馬的特征碼不再是單一的，而是多區(qū)多段，使用MYCCL復(fù)合特征碼定位系統(tǒng)可以更準(zhǔn)確。下面是一個(gè)例子，講解了如何定位：

PE文件 節(jié)表信息  這個(gè)是黑防灰鴿子的客戶(hù)端共有8個(gè)區(qū)段            

文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位內(nèi)存組合包)\Server.exe

首先，我們要知道現(xiàn)在的殺軟，以瑞星查殺內(nèi)存是最厲害的，瑞星內(nèi)存免殺能過(guò)的話(huà)，其他大多數(shù)殺毒軟件的內(nèi)存都基本能過(guò)的。所以今天我們就以瑞星殺軟，對(duì)MYCCL進(jìn)行講解。修改特征代碼免殺一般分為文件和內(nèi)存二種，我們要先查找文件特征碼進(jìn)行免殺（表面免殺），然后才可以查找內(nèi)存特征代碼進(jìn)行免殺。有的朋友錯(cuò)誤的認(rèn)為，給木馬加殼、加花、加密，這樣文件（表面）免殺了，然后再用這個(gè)查找內(nèi)存特征碼，這樣理解是錯(cuò)誤的。

現(xiàn)在我們開(kāi)始進(jìn)行黑防灰鴿子的文件特征碼定位查找：

首先我們要生成一個(gè)無(wú)殼的鴿子客戶(hù)端，我已經(jīng)生成好了。打開(kāi)MYCCL復(fù)合特征碼定位器軟件，把我們要查找的鴿子打開(kāi)，帶后綴不要選（這個(gè)在查找內(nèi)存特征碼時(shí)在選上）。目錄，我在桌面已經(jīng)建一個(gè)了，大家可以隨便建一個(gè)。分塊個(gè)數(shù)設(shè)置在50—100之間。單位長(zhǎng)度和填充我們默認(rèn)不寫(xiě)；開(kāi)始位置我們寫(xiě)這里的：

95%的特征碼都是在這個(gè)區(qū)段里。

正向（反向）都可以，無(wú)所謂。結(jié)束位置是自動(dòng)的，我們不用管它。選復(fù)合定位，因?yàn)樘卣鞔a不是一個(gè)，會(huì)有很多個(gè)，所以選復(fù)合定位。開(kāi)始點(diǎn)生成。2次處理前，我們對(duì)生成的文件用瑞星進(jìn)行查殺并刪除。我們繼續(xù)2次處理，用瑞星殺毒刪除，直到查不出為止。

特征碼 物理地址/物理長(zhǎng)度 如下:

這里一共有3大段，我們看其中一個(gè)， 00092E3D這個(gè)是特征代碼；00001DB3這個(gè)是此特征代碼的偏移量，偏移量太大了，怎么辦？我們繼續(xù)。使它更精確一些。

選其中一個(gè)，復(fù)合定位此區(qū)間，它默認(rèn)的分塊個(gè)數(shù)太大，我們重新設(shè)置分塊，我們?cè)O(shè)置100，重復(fù)上面的步驟。

剛才的偏移量由00001DB3縮小到0000004C。但是它還是比較大，我們繼續(xù)對(duì)它進(jìn)行縮小定位，步驟和上面一樣。我們看單位長(zhǎng)度已經(jīng)在2了，所以我們就不用進(jìn)行分塊設(shè)置了，這里大家也看到了，分塊越大，單位長(zhǎng)度越小，但是分塊越多，我們生成的文件數(shù)也越多，生成的文件數(shù)太多的話(huà)，我們的電腦會(huì)受不了的呵呵。我們所要的精確定位就是偏移量在2或4，太大我們無(wú)法進(jìn)行特征碼的修改，下面我們繼續(xù)把其他大的偏移量縮小，步驟是一樣的。

這二個(gè)是大的偏移量，你們應(yīng)該知道怎么精確的去定位了吧。

還有要說(shuō)明的是我們的分塊個(gè)數(shù)是怎么設(shè)置的，大的文件（比如鴿子700多k）一般設(shè)置在100—200之間，小的文件分塊個(gè)數(shù)設(shè)置在100以?xún)?nèi)就可以了，二次處理的時(shí)候會(huì)出現(xiàn)分塊個(gè)數(shù)是100多點(diǎn)（比如114），單位長(zhǎng)度是2，這樣我們就不需要在改回分塊個(gè)數(shù)是100了，因?yàn)閱挝婚L(zhǎng)度2或者是4，正好是我們所需要的大小。

這是我定位好的了，一共有9處：

特征碼 物理地址/物理長(zhǎng)度 如下:

我們測(cè)試一下，看看是否正確。用WinHex進(jìn)行修改，也可以用UltraEdit或者C32Asm都可以。我們找到特征碼所在的位置，偏移量是2個(gè)字節(jié)，我們用0填充，為了節(jié)余時(shí)間，其他的你們填充吧?？吹搅耍薷恼_。

軟件亮點(diǎn)

1、MyCCL復(fù)合特征碼定位系統(tǒng)最新版可手動(dòng)添加本地文件并對(duì)文件添加后綴

2、MyCCL復(fù)合特征碼定位系統(tǒng)最新版支持使用多重復(fù)特征代碼來(lái)對(duì)付特征代碼修改

3、可更改程序的守護(hù)特征碼

4、支持手動(dòng)填寫(xiě)代碼段code或者txt

5、程序會(huì)自動(dòng)記錄從第幾個(gè)文件開(kāi)始查到病毒

6、程序把生成的文件全部裝載到內(nèi)存中

7、精確的對(duì)特征碼進(jìn)行識(shí)別

8、使用二次處理功能可以反復(fù)的檢測(cè)文件的安全性

9、支持對(duì)特征碼進(jìn)行數(shù)量劃分

更新日志

v3.0版本

1、加快樣本生成速度

2、改進(jìn)了內(nèi)存定位代碼.

3、刪除背景音樂(lè).