修改特征代码免杀一般分为文件和内存二种,我们要先查找文件特征码进行免杀(表面免杀),然后才可以查找内存特征代码进行免杀。给木马加壳、加花、加密,这样文件(表面)免杀了,不等于文件特征码免杀。
操作步骤:
首先我们要生成一个无壳的木马客户端,我已经生成好了。
打开MYCCL复合特征码定位器软件,把我们要查找的木马打开,目录,大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写;开始位置我们写这里的:
区段 开始位置 分段长度
CODE 00000400 000A 1200 95%的特征码都是在这个区段里
正向(反向)都可以,无所谓。结束位置是自动的,我们不用管它。选复合定位,因为特征码不是一个,会有很多个,所以选复合定位。开始点生成。2次处理前,我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理,用瑞星杀毒删除,直到查不出为止。
特征码 物理地址/物理长度 如下:
[特征] 00092E3D_00001DB3
[特征] 000969A 3_00001DB3
[特征] 0009C 2BC_00005919
这里一共有3大段,我们看其中一个, 00092E3D这个是特征代码;00001DB3这个是此特征代码的偏移量,偏移量太大了,怎么办?我们继续。使它更精确一些。
选其中一个,复合定位此区间,它默认的分块个数太大,我们重新设置分块,我们设置100,重复上面的步骤。
刚才的偏移量由00001DB3缩小到 0000004C 。但是它还是比较大,我们继续对它进行缩小定位,步骤和上面一样。我们看单位长度已经在2了,所以我们就不用进行分块设置了,这里大家也看到了,分块越大,单位长度越小,但是分块越多,我们生成的文件数也越多,生成的文件数太多的话,我们的电脑会受不了的 呵呵。我们所要的精确定位就是偏移量在2或4,太大我们无法进行特征码的修改,下面我们继续把其他大的偏移量缩小,步骤是一样的。
[特征] 000969A 3_00001DB3
[特征] 0009C 2BC_00005919 这二个是大的偏移量,你们应该知道怎么精确的去定位了吧。
还有 要说明的是我们的分块个数是怎么设置的,大的文件(比如鸽子700多k)一般设置在100—200之间,小的文件分块个数设置在100以内就可以了,二次处理的时候会出现分块个数是100多点(比如114),单位长度是2,这样我们就不需要在改回分块个数是100了,因为单位长度2或者是4,正好是我们所需要的大小。
这是我定位好的了,一共有9处:
特征码 物理地址/物理长度 如下:
[特征] 000949A 7_00000002
[特征] 00094B3D_00000002
[特征] 000973E9_00000002
[特征] 0009CBBC_00000002
[特征] 0009F 5A 6_00000002
[特征] 000A 0A 46_00000002
[特征] 000A 0DD2_00000002
[特征] 000A 1250_00000002
[特征] 000A 12A 2_00000002
我们测试一下,看看是否正确。用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置,偏移量是2个字节,我们用0填充,修改正确。
扫一扫
1783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
