MyCCL复合特征码定位系统

MyCCL复合特征码定位系统是一款专一型木马专项定位查杀工具，对广告软件、RootKit、间谍软件、木马、病毒、蠕虫等恶意软件具有极高的侦测率，能够有效保护您的数据安全！有需要的小伙伴欢迎来西西下载体验。

软件特色：

这是一个主要定位木马病毒的特征码的工具。

MYCCL是CLL的改进版，可以进行多重特征码的定位，针对金山等杀软的反向定位等功能，并实现自动化代码定位和显示。

应用防护包括：桌面图标防护、输入法防护、浏览器防护

系统防护包括：网页防火墙、漏洞防火墙、U盘防火墙、驱动防火墙、进程防火墙、文件防火墙、注册表防火墙、ARP防火墙

使用方法：

载入程序，然后分块写10(刚开始应先少数量划分，先确定大范围)。

起使位置最好写代码段code,或者txt然后程序会把代码段分成10块，然后从第1块开始恢复，并生成文件。生成完毕后，

用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话，可以在杀掉第一个文件的时候就停止杀毒，此时特征码已经找到)。

然后点击[二次处理]程序会自动记录第几个文件开始查到毒了，那个就是第1个特征码。程序会把有特征码的地方添0并记录在右面，然后把后面的文件分10块开始从头恢复。

这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。

因为分为10块所以每块都比较大，这时候需要进行精确。在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。

关于内存复合特征码定位原理和文件定位是相同的，只是用程序把生成的文件全部装载到内存中去关键是成成文件加后缀了，然后用杀毒软件对内存进行查杀。找到报毒的文件，然后手工删除或者在特征码设置中手动添加即刻。其余操作和文件定位相同。

常见问题：

问:为什么我只找到1处特征码,没有找到复合特征码?答:说明被查找程序只有一处特征码.还有可能是文件划分块数过少,使程序处理得不够精确.

问:为什么用单一定位的时候定位不出特征码?答:可能检测区间当中还存在多处复合特征码,必须继续使用复合定位,直到该区间只剩一组特征码为止.

问:怎么在MyCCL中快速启动TK.Loader?答:鼠标右键点击输出目录框,会弹出启动菜单.

问:生成的文件带后缀有什么用?答:生成带后缀的文件主要是内存定位的时候程序只能装载带后缀的文件.文件定位的时候一定不要打开,否则会与某些杀毒软件冲突,定位出错误的特征码.

以前我们定位特征码都是应用CCL这款软件，对于特征码免杀来说确实很方便，但是随着杀毒软件的技术更新，我们所生成木马的特征码不再是单一的，而是多区多段，比如以前我们用OD可以一半一半法定位特征码，但是现在，你把所有区段都NOP了，也是查不出来特征码的，为什么呢？因为现在的杀毒软件都是把文件特征码和内存特征码混在一起，并且设定的特征码位置比以前多了很多，并不象以前只是把特征码定位在CODE里而且只有一个。例如：

PE文件节表信息这个是黑防灰鸽子的客户端共有8个区段

文件名:D:\DocumentsandSettings\Administrator.BPLG\桌面\MYCLL(定位内存组合包)\Server.exe

节名称起始位置物理长度?CODE00000400000A1200以前特征码多数在这个区段，并且只有一个DATA000A160000002C00现在的特征码有很多处。BSS000A420000000000?.idata000A420000003400.tls000A760000000000rdata000A760000000200.reloc000A78000000A400.rsrc000B1C0000008200

首先，我们要知道现在的杀软，以瑞星查杀内存是最厉害的，瑞星内存免杀能过的话，其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软，对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种，我们要先查找文件特征码进行免杀（表面免杀），然后才可以查找内存特征代码进行免杀。有的朋友错误的认为，给木马加壳、加花、加密，这样文件（表面）免杀了，然后再用这个查找内存特征码，这样理解是错误的。

现在我们开始进行黑防灰鸽子的文件特征码定位查找：　　首先我们要生成一个无壳的鸽子客户端，我已经生成好了。打开MYCCL复合特征码定位器软件，把我们要查找的鸽子打开，带后缀不要选（这个在查找内存特征码时在选上）。目录，我在桌面已经建一个了，大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写；开始位置我们写这里的：

区段开始位置分段长度CODE00000400000A1200

95%的特征码都是在这个区段里。　　正向（反向）都可以，无所谓。结束位置是自动的，我们不用管它。选复合定位，因为特征码不是一个，会有很多个，所以选复合定位。开始点生成。2次处理前，我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理，用瑞星杀毒删除，直到查不出为止。特征码物理地址/物理长度如下:

[特征]00092E3D_00001DB3[特征]000969A3_00001DB3[特征]0009C2BC_00005919

这里一共有3大段，我们看其中一个，00092E3D这个是特征代码；00001DB3这个是此特征代码的偏移量，偏移量太大了，怎么办？我们继续。使它更精确一些。　　选其中一个，复合定位此区间，它默认的分块个数太大，我们重新设置分块，我们设置100，重复上面的步骤。　　刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大，我们继续对它进行缩小定位，步骤和上面一样。我们看单位长度已经在2了，所以我们就不用进行分块设置了，这里大家也看到了，分块越大，单位长度越小，但是分块越多，我们生成的文件数也越多，生成的文件数太多的话，我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4，太大我们无法进行特征码的修改，下面我们继续把其他大的偏移量缩小，步骤是一样的。

[特征]000969A3_00001DB3[特征]0009C2BC_00005919

这二个是大的偏移量，你们应该知道怎么精确的去定位了吧。

还有要说明的是我们的分块个数是怎么设置的，大的文件（比如鸽子700多k）一般设置在100—200之间，小的文件分块个数设置在100以内就可以了，二次处理的时候会出现分块个数是100多点（比如114），单位长度是2，这样我们就不需要在改回分块个数是100了，因为单位长度2或者是4，正好是我们所需要的大小。

这是我定位好的了，一共有9处：特征码物理地址/物理长度如下:

[特征]000949A7_00000002[特征]00094B3D_00000002[特征]000973E9_00000002[特征]0009CBBC_00000002[特征]0009F5A6_00000002[特征]000A0A46_00000002[特征]000A0DD2_00000002[特征]000A1250_00000002[特征]000A12A2_00000002

我们测试一下，看看是否正确。用WinHex进行修改，也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置，偏移量是2个字节，我们用0填充，为了节余时间，其他的你们填充吧。看到了，修改正确。

Tags:MyCCL复合特征码定位系统,杀毒.