MYCCL的用法和原理
]] 使用篇 [[
载入程序,然后分块写10(刚开始应先少数量划分,先确定大范围)。起使位置最好写代码段code,或者txt然后程序会把代码段分成10块,然后从第1块开始恢复,并生成文件。生成完毕后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话,可以在杀掉第一个文件的时候就停止杀毒,此时特征码已经找到)。然后点击[二次处理]程序会自动记录第几个文件开始查到毒了,那个就是第1个特征码。程序会把有特征码的地方添0 并记录在右面,然后把后面的文件分10块开始从头恢复。这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。
因为分为10块所以每块都比较大,这时候需要进行精确。在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。
关于内存复合特征码定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。找到报毒的文件,然后手工删除或者在特征码设置中手动添加即刻。其余操作和文件定位相同。
]] 致谢 [[
MyCCL不是突然冒出来的,都是有了前辈们的摸索才会有不断的进步。在此感谢制作CCL的作者,以及提出定位特征码概念的作者。在程序编写中,各位网友也给了很大的帮助。主动帮忙测试Bug和提出意见和改进之处。在此,特别要感谢[乱刀],多次给程序提出重大改进方案以及智能处理,还为我写了这个简要的说明,呵呵,真是非常感谢!
]] 声明 [[
本软件仅用作技术研究,禁止用于非法用途,否则后果自负!禁止用于商业,DIY请保留原作者信息。
]] 常见问题 [[
问:为什么我只找到1处特征码,没有找到复合特征码?
答:说明被查找程序只有一处特征码.还有可能是文件划分块数过少,使程序处理得不够精确.
问:为什么用单一定位的时候定位不出特征码?
答:可能检测区间当中还存在多处复合特征码,必须继续使用复合定位,直到该区间只剩一组特征码为止.
问:怎么在MyCCL中快速启动TK.Loader?
答:鼠标右键点击输出目录框,会弹出启动菜单.
问:生成的文件带后缀有什么用?
答:生成带后缀的文件主要是内存定位的时候程序只能装载带后缀的文件.文件定位的时候一定不要打开,否则会与某些杀毒软件冲突,定位出错误的特征码.
问:怎么播放选的背景音乐?
答:Shit!这不是点唱机!!!! -___-!!
------------------------------------------------
(+)OLD Version
1.[4.1]修改了几处细节错误.
2.[4.1]起始位置改为从0算起而不是1.
3.[4.1]加入高级分段空间调整.
4.[4.1]加入PE节块信息分析.
6.[4.1]改进了分布视图功能.
7.[4.1]加入了精确定位功能.
8.[4.2]加入自定义填充码功能.
9.[4.2]加入反向填充功能.
10.[4.2]加入复合定位和单一精确定位(CCL方式)
(+)What's New?
1.[4.3]更新至1.1版本
2.[4.3]对内存复合定位进行修改
3.[4.3]加入内存复合特征码辅助定位工具
4.[4.4]修正一些细节Bug
5.[4.4]加入新版本检测功能(本来不想加的,但是我的myccl当初做的时候有点粗糙,小Bug比较多)
6.[4.4]修正了单一定位模式的一处致命错误,请大家及时更新
7.[4.5]修正了MyCCL运行时CPU占用资源过多的问题
8.[4.5]对保存Log的内容进行筛选
9.[4.8]对内存定位载入失败问题进行修改(感谢niu-cow大哥提供帮助)
x.还有..还有我忘记了-___-!!
因为比较匆忙,没有来得及做详细的教程和DEMO,希望哪位人兄帮我写写教程或者出几个DEMO。我会把地址贴到上面来的,3X!
以前我们定位特征码都是应用CCL这款软件,对于特征码免杀来说确实很方便,但是随着杀毒软件的技术更新,我们所生成木马的特征码不再是单一的,而是多区多段,比如以前我们用OD可以一半一半法定位特征码,但是现在,你把所有区段都NOP了,也是查不出来特征码的,为什么呢?因为现在的杀毒软件都是把文件特征码和内存特征码混在一起,并且设定的特征码位置比以前多了很多,并不象以前只是把特征码定位在CODE里而且只有一个。例如:
PE文件 节表信息 这个是黑防灰鸽子的客户端共有8个区段
文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位内存组合包)\Server.exe
节名称 起始位置 物理长度
CODE 00000400 000A1200 以前特征码多数在这个区段,并且只有一个
DATA 000A1600 00002C00 现在的特征码有很多处。
BSS 000A4200 00000000
.idata 000A4200 00003400
.tls 000A7600 00000000
rdata 000A7600 00000200
.reloc 000A7800 0000A400
.rsrc 000B1C00 00008200
首先,我们要知道现在的杀软,以瑞星查杀内存是最厉害的,瑞星内存免杀能过的话,其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软,对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。有的朋友错误的认为,给木马加壳、加花、加密,这样文件(表面)免杀了,然后再用这个查找内存特征码,这样理解是错误的。
现在我们开始进行黑防灰鸽子的文件特征码定位查找:
首先我们要生成一个无壳的鸽子客户端,我已经生成好了。打开MYCCL复合特征码定位器软件,把我们要查找的鸽子打开,带后缀不要选(这个在查找内存特征码时在选上)。目录,我在桌面已经建一个了,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
区段 开始位置 分段长度
CODE 00000400 000A1200
95%的特征码都是在这个区段里。
正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
[特征] 00092E3D_00001DB3
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
这里一共有3大段,我们看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?我们继续。使它更精确一些。
选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有要说明的是我们的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样我们就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是我们所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
[特征] 000949A7_00000002
[特征] 00094B3D_00000002
[特征] 000973E9_00000002
[特征] 0009CBBC_00000002
[特征] 0009F5A6_00000002
[特征] 000A0A46_00000002
[特征] 000A0DD2_00000002
[特征] 000A1250_00000002
[特征] 000A12A2_00000002
我们测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置,偏移量是2个字节,我们用0填充,为了节余时间,其他的你们填充吧。看到了,修改正确。
求救~MYCCL(特征码定位器)~~Ollydbg (特征码的修改)~~PEditor. ~~这几种工具详细操作与特点是什么??
MYCCL是复合特征码定位器,例如瑞星查灰鸽子吧,可能不是一个病毒特征码,因为一个很容易被人找到,非常容易做出免杀的鸽子。所以现在出现了多中特征码,这样以前的CCL就不适合了。就出现了MYCCL。OD动态跟踪调试工具能力非常强。学破解的人都知道非常好的调试工具。PEditor pE资源修改工具。经常用于修改文件PE头部的修改。与LordPE差不多。以上三个软件操作不是一句话能说明白的。你可以去看雪学院的论坛,多多学习。
为什么我无法用c32asm搜索出想要查找的特征码?
搜索出的地址不是用oc偏移过的 oc 之是转换内存地址,而c32asm的本性是用16进制 或32 进制 的,
例: 在用mycll 定位出
特征码 物理地址/物理长度 如下:
[特征] 000949C0_00001DB6 然后复制 “000949C0” 在c32asm 加载程序后 点右键 …… 跳到 输入 000949C0 最后充填 00 或ff 就可免杀
另外 你说oc 转换错是因为你填的前项就不对 现 加载文件 左边填(以上面为例)000949C0 转换 就可啦
告诉你 用oc 必须得用到 od编辑器 ^_^……………………………………………………………………………………………………………………
MYCCL定位出特征码后,我用C32AM改了,木马能免杀,不能运行等于0,为什么?
绝对是没改对的原因,如果你对汇编语言不是很熟悉,你是改不正确的。你说(用C32改了能免杀了,但是不能运行了)。对汇编语言不熟悉的新手都出现这个问题,任何一个木马载入C32乱改两句都可以免杀的,但是不能运行。如果要想用修改特征码免杀,先必须学好汇编语言。还有就是用华中帝国远控定位不可能只有六组特征码,用360定位一般都有几十处,你没有定位准确。木马修改特征码要想过360,新手一般%98都过不了的。再说那华中帝国远控的名气那么大,别说是360,就是其它杀软也很难过。各种杀软首先杀的就是这个远控了。新手要想过360,要找没什么名气的远控。就是大家不常用的。再说你用的 MYCCL定位器已经过时了,随着杀毒软件的不断更新,现在定位器用的是multiCCL 了。
myccl 特征码定位修改
如果我的特征码在00402A8F上,假如我把00402A8F的代码nop掉,直接复制到其它地方,我这里随便指一个地址00450000,然后再直接 jmp回00402A8F,呵呵~你说程序能正常运行不?!
答案是不能!
看到00402A89没?je short 00402A8F
程序运行到这里有可能会跳去执行原来00402A8F的代码!所以它会去执行nop,那么自然程序就出错了!
所以我们需要把
je short 00402A8F改成je 00450000
由此,我们总结出,在用跳转时一定要注意上下的跳转,可能会有多个跳转会调用到特征!
远控木马怎么做免杀?要能过360和qq安全管家
楼主又来提问。
我顺便解释下楼上的说法吧,不然估计你看不懂。
COMODO是综合性安全软件,有杀毒、HIPS、防火墙等各种功能。没有单独的杀木马组件,不过杀毒的组件通常都能杀木马。COMODO通常在HIPS和防火墙方面很出名,但是很复杂,楼主你就别考虑了。什么叫不是特别复杂,除了它,还有几个更复杂的防火墙?就好像,我不会推荐不会骑自行车的人去学汽车,太飞跃了。当然,楼上也是好心,但是你的电脑水平比较高,和一般人其实不一样。而且楼主主要是担心木马的问题,解释下就行了。
我还是那句话,防护木马用卫士就行,保证够用。国内的新木马出来,基本上都是金山和360出的专杀。杀软能杀的就杀了,不能杀的就用专杀。其它的防木马软件实在是没起什么作用。
谁给个暗组远控软件,急用。先谢过。最好附带使用教程。要没毒的和没后门程序的哦。
网络人远程控制旗舰版很好用呀! 我也用,给你说说吧:
网络人netman远程算是国内目前做得非常好的远程了,因为其他做远程的大多是木马,虽然功能也多,但没两天就会被杀毒软件干掉了,免杀也只是免一两天,一升级就不行了。
网络人定位是远程办公软件,完全免费,需要手动安装在两装电脑,设置好会员和密码,只要能上网就能远程,哪怕两个电脑在不同的局域网里。
杀毒软件的工作原理是什么
一个杀毒软件无异于一个信息分析的系统,当它发现某些信息被感染后,就会清除其中的病毒。 假设信息是在“源系统”中,必须到达“目标系统”。这里所称的源系统可以是一个软盘,目标系统可能是计算机的硬盘,或者源系统是存储在ISP的一条消息,而目的系统是客户端计算机上基于Winsock协议的Windows通讯系统。 信息解释系统依据操作系统、应用程序或者是否需要特殊的机制等因素的不同是有区别的,该解释机制必须明确对应杀毒软件所要作用的操作系统或组件。例如:在Windows 9X系统中,需要采用一个虚拟驱动程序VxD来不断监控磁盘的行为。通过这种方式,每当硬盘或者软盘中的信息被存取时,杀毒软件就会截取对该磁盘的读写操作,并扫描将要读取或保存的信息。此种操作在Windows NT/2000/XP中是通过内核模式中的一个驱动来实现的,而在Novell中,磁盘活动的解释是通过一个NLM模块实现的。对于那些为某些特殊应用而设计(而非为某个操作系统设计)的杀毒软件,其解释机制和上面所介绍的是不同的。例如,对于支持CVP防火墙的杀毒软件,是由防火墙通过CVP协议来为杀毒软件传递需要扫描的信息;而对于支持Sendmail的杀毒软件, MilterAPI过滤器为信息的解释提供了便利。某些时候,解释机制既不是由杀毒软件提供(如VxD虚拟驱动),也不是由某种应用提供(如CVP 协议)。在这种情况下,必须采用介乎于应用和杀毒软件之间的一种特殊的解释机制。换句话说,通过某种资源来解释信息并将其传送给杀毒软件,这些资源和杀毒软件之间是一种紧密集成的关系,这样有助于杀毒软件清除病毒。 无论采用何种方式,一旦在扫描信息的过程中检测到一种威胁(病毒),将会采取两种措施: 1. 清除干净的信息将会返回给解释机制,然后再由该解释机制返回给原来的系统以便于它能够继续到达其最终目的地。这意味着如果接收到一封电子邮件,该邮件仍然会被允许到达其目的邮箱;如果是复制一个文件,复制过程将仍然会被允许正常进行直至结束。 2. 会向用户界面发送一个警告,该用户界面可能是多种多样的。对于工作站端的杀毒软件,将会在屏幕上显示一条信息,但是对于针对服务器的杀毒模块,警告将会以电子邮件、内部网络消息、病毒报告中的一条记录或者传递给杀毒软件管理工具的某种消息的形式发送。杀毒程序能够提供高级的防护、阻止任何带给用户的特别“惊奇”。这就象往某个盒子中投入XXX元钱以获得心灵上的平安那么简单。 扫描引擎 无论需要扫描的信息是如何获得的,对于杀毒软件而言最重要的特征就是:病毒扫描引擎。该引擎扫描它所截取的数据以查看其中是否包含病毒,如果有病毒就会将其清除。 信息的扫描通常通过两种方式进行:一种是将扫描信息与病毒数据库(即所谓的“病毒特征库”)进行对照,如果信息与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。 但是对于某些新的病毒或危险信息,在病毒数据库中并没有它们的特征,此时通过一种称为“启发式扫描”的方法有可能将其检测出来。该方法是通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性。 例如,如果某个文件试图格式化检测到的硬盘,杀毒软件就会警告该用户。尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒,但是该行为是危险的。一旦杀毒软件通过声音向用户发出警告,接下来就由用户来判断是否要采取这种危险的操作了。 以上两种方法各有优缺点。如果仅采用病毒特征库系统,那么至少每天更新一次病毒库就显得尤为重要。您必须时刻牢记每天全球至少会有超过15种新的病毒出现,如果杀毒软件两三天都不更新病毒库就变得很危险了。 启发式扫描的缺点是会向你误报一些本不是病毒的信息,如果你每天遇到很多此类的误报,很快就会对这种警告感到厌烦。所以通常程序推荐关闭这种选项。 永久保护和立即扫描 辨别两种不同类型的保护模式对于我们了解杀毒软件是很重要的。第一种是永久保护,相对比较复杂也更重要。这种扫描方式会不断监控计算机中的所有操作以对付各种入侵的企图。 另一种保护类型是立即扫描,它采用与永久保护相同的扫描引擎,可以根据用户的需要检测系统的任何部分。这种扫描通常用在某些特殊的场合,例如:用户可以用立即扫描方式检测一张新的软盘,或者扫描存储在计算机中已经很久没有使用过的一些信息。杀毒软件是根据什么来进行病毒判断并查杀得呢? 病毒检测的方法 在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒样本中,抽取特征代码。依据如下原则: 抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。 采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。 其特点: A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。 B.误报警率低。 非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。 D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。 校验和法 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。 这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。 这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。 运用校验和法查病毒采用三种方式: ①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。 ②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。 ③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。 这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。 B.改DOS系统为数据区的内存总量 病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。 C.对COM、EXE文件做写入动作 病毒要感染,必须写COM、EXE文件。 D.病毒程序与宿主程序的切换 染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。 软件模拟法 多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
参考资料: http://doveyhc.21ic.org/ 摘自:百度知道
杀毒软件是用什么原理识别查杀病毒和木马的?
因为病毒和木马都带有一定的目的性 那么就具备一定的特征码。这就是杀毒软件的病毒库杀毒软件根据病毒库里面的特征码来判断你下载的软件是否具有这样的特征。如果具备这判断是病毒。如果不具备则是安全的。病毒每天都在不停的变异跟新。因此杀毒软件是被动的处理出现的病毒。电脑管家带有实时保护功能能利用云技术来判别你打开的网站、下载的软件、连接上电脑的U盘是否安全等等提前预警,做到有毒早知道早处理。电脑管家的杀毒功能也非常强劲具备多个杀毒引擎。腾讯电脑管家官网腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
