特征码定位器-VirTest

VirTest是一款功能强大的特征码定位工具,适用于杀毒软件开发与测试。通过下载提供的链接,用户可以获得该软件的最新版。该工具支持加密技术和C语言,能够帮助分析和处理QQ等应用程序的潜在威胁。
摘要由CSDN通过智能技术生成
VirTest5.0理论分析:

目前比较常有名气的特征码定位器主要有CCL与MYCCL,他们都采用文件分块定位的办法,定位效果带有运气成份,且可能每次定位出的位置都不尽相同,这个免杀带来了困难。研究杀毒软件特征代码时日渐久,慢慢认识到这样一个事实:杀毒软件在判断特征代码时,一般会解析文件格式,例如PE文件,大致过程可以认为检查这些关键项目MZ -> PE - >CODE->DATA->IMPORT TABLE->EXPORT TABLE->RESOURCE...等,我们可以这样假设报毒过程,如果检测文件是PE,如果在CODE位置存在 标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这个3个条件,那么杀软就会报毒,VIRTEST工作原理就是要找到引起报毒最后一个标志,也就是假设中的标志C。因此VIRTEST采用2分排除法,测试标志C所在文件中的位置,由于被杀的文件可能存在多个 类似于ABC这样的连锁条件,所以我们必须要通过一种排除机制,先要找最靠近文件前部的连锁条件,排除掉文件尾部数据,当找到第一个连锁条件后,抹掉引标志C,再恢复尾部数据,然后继续测试另外的连锁条件,直到找到最后一个连锁条件,抹掉后,整个文件免杀了,则说明特征代码被定为完毕了,所以VIRTEST绝对可以精确的定位出所有的复合特征。这比文件分块定位法先进得多,更为科学。所以VIRTEST5.0必定是当前最先进,最好的特征代码定位器,免杀的必备武器。

VirTest5.0采用二分排除法定位特征代码,对单一以及复合特征定位极其精确可靠。
VirTest5.0可以自动验证定位结果。
VirTest5.0可以直接观察特征码所在
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
]] 使用篇 [[ 载入程序,然后分块写10(刚开始应先少数量划分,先确定大范围)。起使位置最好写代段code,或者txt然后程序会把代段分成10块,然后从第1块开始恢复,并生成文件。生成完毕后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话,可以在杀掉第一个文件的时候就停止杀毒,此时特征已经找到)。然后点击[二次处理]程序会自动记录第几个文件开始查到毒了,那个就是第1个特征。程序会把有特征的地方添0 并记录在右面,然后把后面的文件分10块开始从头恢复。这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。 因为分为10块所以每块都比较大,这时候需要进行精确。在右面点第1个特征选择精确此特征然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征的范围就出来了。 关于内存复合特征定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。找到报毒的文件,然后手工删除或者在特征设置中手动添加即刻。其余操作和文件定位相同。 ]] 致谢 [[ MyCCL不是突然冒出来的,都是有了前辈们的摸索才会有不断的进步。在此感谢制作CCL的作者,以及提出定位特征概念的作者。在程序编写中,各位网友也给了很大的帮助。主动帮忙测试Bug和提出意见和改进之处。在此,特别要感谢[乱刀],多次给程序提出重大改进方案以及智能处理,还为我写了这个简要的说明,呵呵,真是非常感谢! ]] 声明 [[ 本软件仅用作技术研究,禁止用于非法用途,否则后果自负!禁止用于商业,DIY请保留原作者信息。 ]] 常见问题 [[ 问:为什么我只找到1处特征,没有找到复合特征? 答:说明被查找程序只有一处特征.还有可能是文件划分块数过少,使程序处理得不够精确. 问:为什么用单一定位的时候定位不出特征? 答:可能检测区间当中还存在多处复合特征,必须继续使用复合定位,直到该区间只剩一组特征为止. 问:怎么在MyCCL中快速启动TK.Loader? 答:鼠标右键点击输出目录框,会弹出启动菜单. 问:生成的文件带后缀有什么用? 答:生成带后缀的文件主要是内存定位的时候程序只能装载带后缀的文件.文件定位的时候一定不要打开,否则会与某些杀毒软件冲突,定位出错误的特征. 问:怎么播放选的背景音乐? 答:Shit!这不是点唱机!!!! -___-!!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值