MyCCL復合特征碼定位系統(tǒng)

MyCCL復合特征碼定位系統(tǒng)是一款專一型木馬專項定位查殺工具，對廣告軟件、RootKit、間諜軟件、木馬、病毒、蠕蟲等惡意軟件具有極高的偵測率，能夠有效保護您的數(shù)據(jù)安全！有需要的小伙伴歡迎來西西下載體驗。

軟件特色：

這是一個主要定位木馬病毒的特征碼的工具。

MYCCL是CLL的改進版，可以進行多重特征碼的定位，針對金山等殺軟的反向定位等功能，并實現(xiàn)自動化代碼定位和顯示。

應用防護包括：桌面圖標防護、輸入法防護、瀏覽器防護

系統(tǒng)防護包括：網(wǎng)頁防火墻、漏洞防火墻、U盤防火墻、驅動防火墻、進程防火墻、文件防火墻、注冊表防火墻、ARP防火墻

使用方法：

載入程序，然后分塊寫10(剛開始應先少數(shù)量劃分，先確定大范圍)。

起使位置最好寫代碼段code,或者txt然后程序會把代碼段分成10塊，然后從第1塊開始恢復，并生成文件。生成完畢后，

用殺毒軟件查殺生成文件的目錄清除所有帶毒文件(如果殺毒軟件是按順序殺毒的話，可以在殺掉第一個文件的時候就停止殺毒，此時特征碼已經(jīng)找到)。

然后點擊[二次處理]程序會自動記錄第幾個文件開始查到毒了，那個就是第1個特征碼。程序會把有特征碼的地方添0 并記錄在右面，然后把后面的文件分10塊開始從頭恢復。

這樣不斷進行(反復使用[二次處理]和殺毒)守護特征的大范圍就找出了并記錄在右面。 　　

因為分為10塊所以每塊都比較大，這時候需要進行精確。在右面點第1個特征碼選擇精確此特征碼然后此處就會被寫入分析器里。分塊可以寫大一點比如100這樣多次進行精確特征碼的范圍就出來了。 　　

關于內存復合特征碼定位原理和文件定位是相同的，只是用程序把生成的文件全部裝載到內存中去關鍵是成成文件加后綴了，然后用殺毒軟件對內存進行查殺。找到報毒的文件，然后手工刪除或者在特征碼設置中手動添加即刻。其余操作和文件定位相同。

常見問題：

問:為什么我只找到1處特征碼,沒有找到復合特征碼? 答:說明被查找程序只有一處特征碼.還有可能是文件劃分塊數(shù)過少,使程序處理得不夠精確.

問:為什么用單一定位的時候定位不出特征碼? 答:可能檢測區(qū)間當中還存在多處復合特征碼,必須繼續(xù)使用復合定位,直到該區(qū)間只剩一組特征碼為止.

問:怎么在MyCCL中快速啟動TK.Loader? 答:鼠標右鍵點擊輸出目錄框,會彈出啟動菜單.

問:生成的文件帶后綴有什么用? 答:生成帶后綴的文件主要是內存定位的時候程序只能裝載帶后綴的文件.文件定位的時候一定不要打開,否則會與某些殺毒軟件沖突,定位出錯誤的特征碼.

以前我們定位特征碼都是應用CCL這款軟件，對于特征碼免殺來說確實很方便，但是隨著殺毒軟件的技術更新，我們所生成木馬的特征碼不再是單一的，而是多區(qū)多段，比如以前我們用OD可以一半一半法定位特征碼，但是現(xiàn)在，你把所有區(qū)段都NOP了，也是查不出來特征碼的，為什么呢？因為現(xiàn)在的殺毒軟件都是把文件特征碼和內存特征碼混在一起，并且設定的特征碼位置比以前多了很多，并不象以前只是把特征碼定位在CODE里而且只有一個。例如：

PE文件 節(jié)表信息 這個是黑防灰鴿子的客戶端共有8個區(qū)段

文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位內存組合包)\Server.exe

節(jié)名稱 起始位置 物理長度  CODE 00000400 000A1200 以前特征碼多數(shù)在這個區(qū)段，并且只有一個 DATA 000A1600 00002C00 現(xiàn)在的特征碼有很多處。 BSS 000A4200 00000000  .idata 000A4200 00003400 .tls 000A7600 00000000 rdata 000A7600 00000200 .reloc 000A7800 0000A400 .rsrc 000B1C00 00008200

首先，我們要知道現(xiàn)在的殺軟，以瑞星查殺內存是最厲害的，瑞星內存免殺能過的話，其他大多數(shù)殺毒軟件的內存都基本能過的。所以今天我們就以瑞星殺軟，對MYCCL進行講解。修改特征代碼免殺一般分為文件和內存二種，我們要先查找文件特征碼進行免殺（表面免殺），然后才可以查找內存特征代碼進行免殺。有的朋友錯誤的認為，給木馬加殼、加花、加密，這樣文件（表面）免殺了，然后再用這個查找內存特征碼，這樣理解是錯誤的。

現(xiàn)在我們開始進行黑防灰鴿子的文件特征碼定位查找： 　　首先我們要生成一個無殼的鴿子客戶端，我已經(jīng)生成好了。打開MYCCL復合特征碼定位器軟件，把我們要查找的鴿子打開，帶后綴不要選（這個在查找內存特征碼時在選上）。目錄，我在桌面已經(jīng)建一個了，大家可以隨便建一個。分塊個數(shù)設置在50—100之間。單位長度和填充我們默認不寫；開始位置我們寫這里的：

區(qū)段 開始位置 分段長度 CODE 00000400 000A1200

95%的特征碼都是在這個區(qū)段里。 　　正向（反向）都可以，無所謂。結束位置是自動的，我們不用管它。選復合定位，因為特征碼不是一個，會有很多個，所以選復合定位。開始點生成。2次處理前，我們對生成的文件用瑞星進行查殺并刪除。我們繼續(xù)2次處理，用瑞星殺毒刪除，直到查不出為止。 特征碼 物理地址/物理長度 如下:

[特征] 00092E3D_00001DB3 [特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

這里一共有3大段，我們看其中一個， 00092E3D這個是特征代碼；00001DB3這個是此特征代碼的偏移量，偏移量太大了，怎么辦？我們繼續(xù)。使它更精確一些。 　　選其中一個，復合定位此區(qū)間，它默認的分塊個數(shù)太大，我們重新設置分塊，我們設置100，重復上面的步驟。 　　剛才的偏移量由00001DB3縮小到0000004C。但是它還是比較大，我們繼續(xù)對它進行縮小定位，步驟和上面一樣。我們看單位長度已經(jīng)在2了，所以我們就不用進行分塊設置了，這里大家也看到了，分塊越大，單位長度越小，但是分塊越多，我們生成的文件數(shù)也越多，生成的文件數(shù)太多的話，我們的電腦會受不了的呵呵。我們所要的精確定位就是偏移量在2或4，太大我們無法進行特征碼的修改，下面我們繼續(xù)把其他大的偏移量縮小，步驟是一樣的。

[特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

這二個是大的偏移量，你們應該知道怎么精確的去定位了吧。

還有要說明的是我們的分塊個數(shù)是怎么設置的，大的文件（比如鴿子700多k）一般設置在100—200之間，小的文件分塊個數(shù)設置在100以內就可以了，二次處理的時候會出現(xiàn)分塊個數(shù)是100多點（比如114），單位長度是2，這樣我們就不需要在改回分塊個數(shù)是100了，因為單位長度2或者是4，正好是我們所需要的大小。

這是我定位好的了，一共有9處： 特征碼 物理地址/物理長度 如下:

[特征] 000949A7_00000002 [特征] 00094B3D_00000002 [特征] 000973E9_00000002 [特征] 0009CBBC_00000002 [特征] 0009F5A6_00000002 [特征] 000A0A46_00000002 [特征] 000A0DD2_00000002 [特征] 000A1250_00000002 [特征] 000A12A2_00000002

我們測試一下，看看是否正確。用WinHex進行修改，也可以用UltraEdit或者C32Asm都可以。我們找到特征碼所在的位置，偏移量是2個字節(jié)，我們用0填充，為了節(jié)余時間，其他的你們填充吧�？吹搅耍�修改正確。