MyCCL復(fù)合特征碼定位系統(tǒng)

MyCCL復(fù)合特征碼定位系統(tǒng)是一款專一型木馬專項(xiàng)定位查殺工具，對廣告軟件、RootKit、間諜軟件、木馬、病毒、蠕蟲等惡意軟件具有極高的偵測率，能夠有效保護(hù)您的數(shù)據(jù)安全！有需要的小伙伴歡迎來西西下載體驗(yàn)。

軟件特色：

這是一個主要定位木馬病毒的特征碼的工具。

MYCCL是CLL的改進(jìn)版，可以進(jìn)行多重特征碼的定位，針對金山等殺軟的反向定位等功能，并實(shí)現(xiàn)自動化代碼定位和顯示。

應(yīng)用防護(hù)包括：桌面圖標(biāo)防護(hù)、輸入法防護(hù)、瀏覽器防護(hù)

系統(tǒng)防護(hù)包括：網(wǎng)頁防火墻、漏洞防火墻、U盤防火墻、驅(qū)動防火墻、進(jìn)程防火墻、文件防火墻、注冊表防火墻、ARP防火墻

使用方法：

載入程序，然后分塊寫10(剛開始應(yīng)先少數(shù)量劃分，先確定大范圍)。

起使位置最好寫代碼段code,或者txt然后程序會把代碼段分成10塊，然后從第1塊開始恢復(fù)，并生成文件。生成完畢后，

用殺毒軟件查殺生成文件的目錄清除所有帶毒文件(如果殺毒軟件是按順序殺毒的話，可以在殺掉第一個文件的時(shí)候就停止殺毒，此時(shí)特征碼已經(jīng)找到)。

然后點(diǎn)擊[二次處理]程序會自動記錄第幾個文件開始查到毒了，那個就是第1個特征碼。程序會把有特征碼的地方添0 并記錄在右面，然后把后面的文件分10塊開始從頭恢復(fù)。

這樣不斷進(jìn)行(反復(fù)使用[二次處理]和殺毒)守護(hù)特征的大范圍就找出了并記錄在右面。 　　

因?yàn)榉譃?0塊所以每塊都比較大，這時(shí)候需要進(jìn)行精確。在右面點(diǎn)第1個特征碼選擇精確此特征碼然后此處就會被寫入分析器里。分塊可以寫大一點(diǎn)比如100這樣多次進(jìn)行精確特征碼的范圍就出來了。 　　

關(guān)于內(nèi)存復(fù)合特征碼定位原理和文件定位是相同的，只是用程序把生成的文件全部裝載到內(nèi)存中去關(guān)鍵是成成文件加后綴了，然后用殺毒軟件對內(nèi)存進(jìn)行查殺。找到報(bào)毒的文件，然后手工刪除或者在特征碼設(shè)置中手動添加即刻。其余操作和文件定位相同。

常見問題：

問:為什么我只找到1處特征碼,沒有找到復(fù)合特征碼? 答:說明被查找程序只有一處特征碼.還有可能是文件劃分塊數(shù)過少,使程序處理得不夠精確.

問:為什么用單一定位的時(shí)候定位不出特征碼? 答:可能檢測區(qū)間當(dāng)中還存在多處復(fù)合特征碼,必須繼續(xù)使用復(fù)合定位,直到該區(qū)間只剩一組特征碼為止.

問:怎么在MyCCL中快速啟動TK.Loader? 答:鼠標(biāo)右鍵點(diǎn)擊輸出目錄框,會彈出啟動菜單.

問:生成的文件帶后綴有什么用? 答:生成帶后綴的文件主要是內(nèi)存定位的時(shí)候程序只能裝載帶后綴的文件.文件定位的時(shí)候一定不要打開,否則會與某些殺毒軟件沖突,定位出錯誤的特征碼.

以前我們定位特征碼都是應(yīng)用CCL這款軟件，對于特征碼免殺來說確實(shí)很方便，但是隨著殺毒軟件的技術(shù)更新，我們所生成木馬的特征碼不再是單一的，而是多區(qū)多段，比如以前我們用OD可以一半一半法定位特征碼，但是現(xiàn)在，你把所有區(qū)段都NOP了，也是查不出來特征碼的，為什么呢？因?yàn)楝F(xiàn)在的殺毒軟件都是把文件特征碼和內(nèi)存特征碼混在一起，并且設(shè)定的特征碼位置比以前多了很多，并不象以前只是把特征碼定位在CODE里而且只有一個。例如：

PE文件 節(jié)表信息 這個是黑防灰鴿子的客戶端共有8個區(qū)段

文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位內(nèi)存組合包)\Server.exe

節(jié)名稱 起始位置 物理長度  CODE 00000400 000A1200 以前特征碼多數(shù)在這個區(qū)段，并且只有一個 DATA 000A1600 00002C00 現(xiàn)在的特征碼有很多處。 BSS 000A4200 00000000  .idata 000A4200 00003400 .tls 000A7600 00000000 rdata 000A7600 00000200 .reloc 000A7800 0000A400 .rsrc 000B1C00 00008200

首先，我們要知道現(xiàn)在的殺軟，以瑞星查殺內(nèi)存是最厲害的，瑞星內(nèi)存免殺能過的話，其他大多數(shù)殺毒軟件的內(nèi)存都基本能過的。所以今天我們就以瑞星殺軟，對MYCCL進(jìn)行講解。修改特征代碼免殺一般分為文件和內(nèi)存二種，我們要先查找文件特征碼進(jìn)行免殺（表面免殺），然后才可以查找內(nèi)存特征代碼進(jìn)行免殺。有的朋友錯誤的認(rèn)為，給木馬加殼、加花、加密，這樣文件（表面）免殺了，然后再用這個查找內(nèi)存特征碼，這樣理解是錯誤的。

現(xiàn)在我們開始進(jìn)行黑防灰鴿子的文件特征碼定位查找： 　　首先我們要生成一個無殼的鴿子客戶端，我已經(jīng)生成好了。打開MYCCL復(fù)合特征碼定位器軟件，把我們要查找的鴿子打開，帶后綴不要選（這個在查找內(nèi)存特征碼時(shí)在選上）。目錄，我在桌面已經(jīng)建一個了，大家可以隨便建一個。分塊個數(shù)設(shè)置在50—100之間。單位長度和填充我們默認(rèn)不寫；開始位置我們寫這里的：

區(qū)段 開始位置 分段長度 CODE 00000400 000A1200

95%的特征碼都是在這個區(qū)段里。 　　正向（反向）都可以，無所謂。結(jié)束位置是自動的，我們不用管它。選復(fù)合定位，因?yàn)樘卣鞔a不是一個，會有很多個，所以選復(fù)合定位。開始點(diǎn)生成。2次處理前，我們對生成的文件用瑞星進(jìn)行查殺并刪除。我們繼續(xù)2次處理，用瑞星殺毒刪除，直到查不出為止。 特征碼 物理地址/物理長度 如下:

[特征] 00092E3D_00001DB3 [特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

這里一共有3大段，我們看其中一個， 00092E3D這個是特征代碼；00001DB3這個是此特征代碼的偏移量，偏移量太大了，怎么辦？我們繼續(xù)。使它更精確一些。 　　選其中一個，復(fù)合定位此區(qū)間，它默認(rèn)的分塊個數(shù)太大，我們重新設(shè)置分塊，我們設(shè)置100，重復(fù)上面的步驟。 　　剛才的偏移量由00001DB3縮小到0000004C。但是它還是比較大，我們繼續(xù)對它進(jìn)行縮小定位，步驟和上面一樣。我們看單位長度已經(jīng)在2了，所以我們就不用進(jìn)行分塊設(shè)置了，這里大家也看到了，分塊越大，單位長度越小，但是分塊越多，我們生成的文件數(shù)也越多，生成的文件數(shù)太多的話，我們的電腦會受不了的呵呵。我們所要的精確定位就是偏移量在2或4，太大我們無法進(jìn)行特征碼的修改，下面我們繼續(xù)把其他大的偏移量縮小，步驟是一樣的。

[特征] 000969A3_00001DB3 [特征] 0009C2BC_00005919

這二個是大的偏移量，你們應(yīng)該知道怎么精確的去定位了吧。

還有要說明的是我們的分塊個數(shù)是怎么設(shè)置的，大的文件（比如鴿子700多k）一般設(shè)置在100—200之間，小的文件分塊個數(shù)設(shè)置在100以內(nèi)就可以了，二次處理的時(shí)候會出現(xiàn)分塊個數(shù)是100多點(diǎn)（比如114），單位長度是2，這樣我們就不需要在改回分塊個數(shù)是100了，因?yàn)閱挝婚L度2或者是4，正好是我們所需要的大小。

這是我定位好的了，一共有9處： 特征碼 物理地址/物理長度 如下:

[特征] 000949A7_00000002 [特征] 00094B3D_00000002 [特征] 000973E9_00000002 [特征] 0009CBBC_00000002 [特征] 0009F5A6_00000002 [特征] 000A0A46_00000002 [特征] 000A0DD2_00000002 [特征] 000A1250_00000002 [特征] 000A12A2_00000002

我們測試一下，看看是否正確。用WinHex進(jìn)行修改，也可以用UltraEdit或者C32Asm都可以。我們找到特征碼所在的位置，偏移量是2個字節(jié)，我們用0填充，為了節(jié)余時(shí)間，其他的你們填充吧�？吹搅耍�修改正確。