小七技术论坛,计算机安全和杀毒软件,编程交流于软件安全技术交流,给新手一个绿色安全的论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

安全验证
请完成以下验证码
安全验证
请完成以下验证码
小七官方出售过360远程协助,过主动、域名拦截、防上传,详情请联系客服QQ
小七免杀论坛远程管理软件正式版 V1.3 正式发布,详情请点击小七免杀论坛vip高级特征码免杀培训课程【已完结】小七免杀论坛第一期源码免杀培训课程已经更新完毕,如需开通vip,请联系我们的客服小七免杀论坛第二期vip源码免杀培训课程
小七免杀论坛第三期vip源码免杀【进阶篇】教程小七免杀论坛ghost功能添加教程【已完结】小七免杀论坛2015年第四期源码免杀教程--实战篇【已完结】小七免杀论坛2016第五期源码免杀教程【已完结】美女讲解 小七免杀论坛2017年第六期源码免杀教程【已完结】
小七免杀论坛2018年第七期源码免杀教程【录制中。。。】【站外广告 风险自担】呼死你轰炸机 炸 炸 炸~ qq 3200318769【站外广告 风险自担】单文件免杀远控,过360等国内主流,重启上线,无视提示,更新一次管一月,只服务高端客户,没实力勿扰,QQ10089658小七免杀论坛广告位出租,有意者请联系客服QQ【站外广告 风险自担】高价收购一手百度收录过200以上webshell,要求干净根目录主页权限,●●qq●179965●●●●有技术可长期包养
【站外广告 风险自担】高价收购一手百度收录过200以上webshell,要求干净根目录主页权限,●●qq●179965●●●●有技术可长期包养【站外广告 风险自担】高价收购一手百度收录过200以上webshell,要求干净根目录主页权限,●●qq●179965●●●●有技术可长期包养【站外广告 风险自担】高价收购一手百度收录过200以上webshell,要求干净根目录主页权限,●●qq●179965●●●●有技术可长期包养【站外广告 风险自担】高价收购一手百度收录过200以上webshell,要求干净根目录主页权限,●●qq●179965●●●●有技术可长期包养【站外广告 风险自担】高价找单文件技术,过启动,360全套,可捆绑exe,不能测试就别打扰了,QQ2943516379
查看: 652|回复: 4

MYCCL复合特征码定位原理

[复制链接]
  • TA的每日心情
    慵懒
    昨天 15:31
  • 签到天数: 1507 天

    连续签到: 2 天

    [LV.Master]伴坛终老

    管理员

    Rank: 9Rank: 9Rank: 9

    UID
    21141
    小七币
    9749
    贡献
    1070
    在线时间
    5084 小时
    注册时间
    2013-5-11

    新人进步真我风采活跃会员特殊贡献版主原创先锋优秀会员论坛总监宣传大使寂寞的管理员终身成就最佳版主常住居民幽默大师金点子

    无痕 发表于 2015-10-5 21:22:34 | 显示全部楼层 |阅读模式

    今天介绍一下复合特征码定位原理,主要是为了那些想做免杀,不知道从那开始的朋友
    希望通过这篇文章,能对大家有所帮助

    一:特征码:特征码就是杀毒软件公司定义的一段或多段程序代码,杀毒软件用特征码来定义病毒,就
    象我们用名字来定义人名一样。
    二:.复合特征码,其实就是多处特征码,因为单一特征码很容易被修改,从而杀毒软件定义了复合特征
    码,就是我们只修改一处特征码,还是会被杀掉的,就需要通通改掉。

    三:复合特征码的定位原理,主要是讲一下MyCCL的原理,我这里举个例子:
      一段程序:a---b-----------------c---c---a-----b-----------a--b----a------
      这里a,b,c是特征码,只有当a,b,c同时存在的时候,杀毒软件才会报毒!我们使用的方法还是把程序填0,然后试杀,被杀的说明是特征码(注意这里是复合特征码的情况)。我们把这段程序分成3段。
      0_0_20:   a---b--------------00000000000000000000000000000000000000000000
      1_20_20:   a---b-----------------c---c---a-----b---00000000000000000000000
      2_20_20:   a---b-----------------c---c---a-----b-----------a--b----a------
      我们把这段程序分成这样的3段,用杀毒软件查杀的时候,杀软会报1_20_20,2_20_20是病毒!这样我们就知道特征码是在1_20_20这段里了。然后二次处理,把1_20_20这段用0填,然后在杀!二次处理后就是这样的:
    0_0_20: a---b---------------0000000000000000000000000000000000000000000
    1_20_20: a---b---------------0000000000000000000000000000000000000000000
    2_20_20: a---b---------------00000000000000000000--------a--b----a------
    这样杀毒软件就不会报毒了,如果程序的后面还有c特征码的话,可以象这样继续分析,直到把所有的c特征码都填0,找到为止!找到了特征码的大段之后,再详细定位,详细定位就是这样反复操作。

           本文来自小七免杀论坛  官方网站:www.xiaoqi7.com

  • TA的每日心情

    2015-12-9 23:28
  • 签到天数: 50 天

    连续签到: 1 天

    [LV.5]常住居民I

    菜鸟入门

    Rank: 2

    UID
    11883
    小七币
    91
    贡献
    0
    在线时间
    131 小时
    注册时间
    2012-7-3

    论坛总监真我风采活跃会员

    ninedll 发表于 2015-10-6 03:31:02 | 显示全部楼层
    基础也要学习
  • TA的每日心情
    开心
    2016-5-11 22:59
  • 签到天数: 76 天

    连续签到: 1 天

    [LV.6]常住居民II

    菜鸟入门

    Rank: 2

    UID
    39114
    小七币
    60
    贡献
    0
    在线时间
    72 小时
    注册时间
    2015-5-21
    keiko66 发表于 2015-10-6 14:32:01 | 显示全部楼层
    不错不错,支持一下,
  • TA的每日心情
    奋斗
    2015-11-4 22:04
  • 签到天数: 28 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    老百姓

    Rank: 1

    UID
    50178
    小七币
    39
    贡献
    0
    在线时间
    16 小时
    注册时间
    2015-10-1
    Cloudraker 发表于 2015-10-6 20:13:12 | 显示全部楼层
    感谢大大的辛劳分享!我会继续在论坛关注大大的文章!
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /2 下一条

    QQ|小黑屋|手机版|Archiver|小七技术论坛 ( 闽ICP备11025971号-4 )

    GMT+8, 2018-5-27 03:57 , Processed in 0.098376 second(s), 31 queries .

    Powered by 小七论坛

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表