MYCCL的用法和原理
]] 使用篇 [[
載入程序,然后分塊寫10(剛開始應先少數量劃分,先確定大范圍)。起使位置最好寫代碼段code,或者txt然后程序會把代碼段分成10塊,然后從第1塊開始恢復,并生成文件。生成完畢后,用殺毒軟件查殺生成文件的目錄清除所有帶毒文件(如果殺毒軟件是按順序殺毒的話,可以在殺掉第一個文件的時候就停止殺毒,此時特征碼已經找到)。然后點擊[二次處理]程序會自動記錄第幾個文件開始查到毒了,那個就是第1個特征碼。程序會把有特征碼的地方添0 并記錄在右面,然后把后面的文件分10塊開始從頭恢復。這樣不斷進行(反復使用[二次處理]和殺毒)守護特征的大范圍就找出了并記錄在右面。
因為分為10塊所以每塊都比較大,這時候需要進行精確。在右面點第1個特征碼選擇精確此特征碼然后此處就會被寫入分析器里。分塊可以寫大一點比如100這樣多次進行精確特征碼的范圍就出來了。
關于內存復合特征碼定位原理和文件定位是相同的,只是用程序把生成的文件全部裝載到內存中去了,然后用殺毒軟件對內存進行查殺。找到報毒的文件,然后手工刪除或者在特征碼設置中手動添加即刻。其余操作和文件定位相同。
]] 致謝 [[
MyCCL不是突然冒出來的,都是有了前輩們的摸索才會有不斷的進步。在此感謝制作CCL的作者,以及提出定位特征碼概念的作者。在程序編寫中,各位網友也給了很大的幫助。主動幫忙測試Bug和提出意見和改進之處。在此,特別要感謝[亂刀],多次給程序提出重大改進方案以及智能處理,還為我寫了這個簡要的說明,呵呵,真是非常感謝!
]] 聲明 [[
本軟件僅用作技術研究,禁止用于非法用途,否則后果自負!禁止用于商業,DIY請保留原作者信息。
]] 常見問題 [[
問:為什么我只找到1處特征碼,沒有找到復合特征碼?
答:說明被查找程序只有一處特征碼.還有可能是文件劃分塊數過少,使程序處理得不夠精確.
問:為什么用單一定位的時候定位不出特征碼?
答:可能檢測區間當中還存在多處復合特征碼,必須繼續使用復合定位,直到該區間只剩一組特征碼為止.
問:怎么在MyCCL中快速啟動TK.Loader?
答:鼠標右鍵點擊輸出目錄框,會彈出啟動菜單.
問:生成的文件帶后綴有什么用?
答:生成帶后綴的文件主要是內存定位的時候程序只能裝載帶后綴的文件.文件定位的時候一定不要打開,否則會與某些殺毒軟件沖突,定位出錯誤的特征碼.
問:怎么播放選的背景音樂?
答:Shit!這不是點唱機!!!! -___-!!
------------------------------------------------
(+)OLD Version
1.[4.1]修改了幾處細節錯誤.
2.[4.1]起始位置改為從0算起而不是1.
3.[4.1]加入高級分段空間調整.
4.[4.1]加入PE節塊信息分析.
6.[4.1]改進了分布視圖功能.
7.[4.1]加入了精確定位功能.
8.[4.2]加入自定義填充碼功能.
9.[4.2]加入反向填充功能.
10.[4.2]加入復合定位和單一精確定位(CCL方式)
(+)What's New?
1.[4.3]更新至1.1版本
2.[4.3]對內存復合定位進行修改
3.[4.3]加入內存復合特征碼輔助定位工具
4.[4.4]修正一些細節Bug
5.[4.4]加入新版本檢測功能(本來不想加的,但是我的myccl當初做的時候有點粗糙,小Bug比較多)
6.[4.4]修正了單一定位模式的一處致命錯誤,請大家及時更新
7.[4.5]修正了MyCCL運行時CPU占用資源過多的問題
8.[4.5]對保存Log的內容進行篩選
9.[4.8]對內存定位載入失敗問題進行修改(感謝niu-cow大哥提供幫助)
x.還有..還有我忘記了-___-!!
因為比較匆忙,沒有來得及做詳細的教程和DEMO,希望哪位人兄幫我寫寫教程或者出幾個DEMO。我會把地址貼到上面來的,3X!
以前我們定位特征碼都是應用CCL這款軟件,對于特征碼免殺來說確實很方便,但是隨著殺毒軟件的技術更新,我們所生成木馬的特征碼不再是單一的,而是多區多段,比如以前我們用OD可以一半一半法定位特征碼,但是現在,你把所有區段都NOP了,也是查不出來特征碼的,為什么呢?因為現在的殺毒軟件都是把文件特征碼和內存特征碼混在一起,并且設定的特征碼位置比以前多了很多,并不象以前只是把特征碼定位在CODE里而且只有一個。例如:
PE文件 節表信息 這個是黑防灰鴿子的客戶端共有8個區段
文件名:D:\Documents and Settings\Administrator.BPLG\桌面\MYCLL(定位內存組合包)\Server.exe
節名稱 起始位置 物理長度
CODE 00000400 000A1200 以前特征碼多數在這個區段,并且只有一個
DATA 000A1600 00002C00 現在的特征碼有很多處。
BSS 000A4200 00000000
.idata 000A4200 00003400
.tls 000A7600 00000000
rdata 000A7600 00000200
.reloc 000A7800 0000A400
.rsrc 000B1C00 00008200
首先,我們要知道現在的殺軟,以瑞星查殺內存是最厲害的,瑞星內存免殺能過的話,其他大多數殺毒軟件的內存都基本能過的。所以今天我們就以瑞星殺軟,對MYCCL進行講解。修改特征代碼免殺一般分為文件和內存二種,我們要先查找文件特征碼進行免殺(表面免殺),然后才可以查找內存特征代碼進行免殺。有的朋友錯誤的認為,給木馬加殼、加花、加密,這樣文件(表面)免殺了,然后再用這個查找內存特征碼,這樣理解是錯誤的。
現在我們開始進行黑防灰鴿子的文件特征碼定位查找:
首先我們要生成一個無殼的鴿子客戶端,我已經生成好了。打開MYCCL復合特征碼定位器軟件,把我們要查找的鴿子打開,帶后綴不要選(這個在查找內存特征碼時在選上)。目錄,我在桌面已經建一個了,大家可以隨便建一個。分塊個數設置在50—100之間。單位長度和填充我們默認不寫;開始位置我們寫這里的:
區段 開始位置 分段長度
CODE 00000400 000A1200
95%的特征碼都是在這個區段里。
正向(反向)都可以,無所謂。結束位置是自動的,我們不用管它。選復合定位,因為特征碼不是一個,會有很多個,所以選復合定位。開始點生成。2次處理前,我們對生成的文件用瑞星進行查殺并刪除。我們繼續2次處理,用瑞星殺毒刪除,直到查不出為止。
特征碼 物理地址/物理長度 如下:
[特征] 00092E3D_00001DB3
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
這里一共有3大段,我們看其中一個, 00092E3D這個是特征代碼;00001DB3這個是此特征代碼的偏移量,偏移量太大了,怎么辦?我們繼續。使它更精確一些。
選其中一個,復合定位此區間,它默認的分塊個數太大,我們重新設置分塊,我們設置100,重復上面的步驟。
剛才的偏移量由00001DB3縮小到0000004C。但是它還是比較大,我們繼續對它進行縮小定位,步驟和上面一樣。我們看單位長度已經在2了,所以我們就不用進行分塊設置了,這里大家也看到了,分塊越大,單位長度越小,但是分塊越多,我們生成的文件數也越多,生成的文件數太多的話,我們的電腦會受不了的呵呵。我們所要的精確定位就是偏移量在2或4,太大我們無法進行特征碼的修改,下面我們繼續把其他大的偏移量縮小,步驟是一樣的。
[特征] 000969A3_00001DB3
[特征] 0009C2BC_00005919
這二個是大的偏移量,你們應該知道怎么精確的去定位了吧。
還有要說明的是我們的分塊個數是怎么設置的,大的文件(比如鴿子700多k)一般設置在100—200之間,小的文件分塊個數設置在100以內就可以了,二次處理的時候會出現分塊個數是100多點(比如114),單位長度是2,這樣我們就不需要在改回分塊個數是100了,因為單位長度2或者是4,正好是我們所需要的大小。
這是我定位好的了,一共有9處:
特征碼 物理地址/物理長度 如下:
[特征] 000949A7_00000002
[特征] 00094B3D_00000002
[特征] 000973E9_00000002
[特征] 0009CBBC_00000002
[特征] 0009F5A6_00000002
[特征] 000A0A46_00000002
[特征] 000A0DD2_00000002
[特征] 000A1250_00000002
[特征] 000A12A2_00000002
我們測試一下,看看是否正確。用WinHex進行修改,也可以用UltraEdit或者C32Asm都可以。我們找到特征碼所在的位置,偏移量是2個字節,我們用0填充,為了節余時間,其他的你們填充吧。看到了,修改正確。
MYCCL和multiCCL_f兩種方法定位文件特征碼有什么不同?
myccl定位填充默認的是OO。分的區段也是很有規律的,殺軟現在有防定位技術,就會不報毒,或者全報毒,干擾你的定位,精確度是2.兩個定位的算法也不一樣。
multiccl定位填充默認的是隨機,分的區段是隨機命名的。精確度是1。
最重要的是兩個定位的算法也不一樣。
myccL免殺
myccL 是用來定位出殺毒軟件殺你木馬的特征碼用的。。。。把定位出來的特征碼用C32和OD修改特征碼。。使用等量替換法 通用調整 和+1法 等 來修改達到免殺效果。
多看看教程就知道如何操作了,不過不能死死的搬教程的方法,學會方法靈活應用
MYCCL定位出特征碼后,我用C32AM改了,木馬能免殺,不能運行等于0,為什么?
絕對是沒改對的原因,如果你對匯編語言不是很熟悉,你是改不正確的。你說(用C32改了能免殺了,但是不能運行了)。對匯編語言不熟悉的新手都出現這個問題,任何一個木馬載入C32亂改兩句都可以免殺的,但是不能運行。如果要想用修改特征碼免殺,先必須學好匯編語言。還有就是用華中帝國遠控定位不可能只有六組特征碼,用360定位一般都有幾十處,你沒有定位準確。木馬修改特征碼要想過360,新手一般%98都過不了的。再說那華中帝國遠控的名氣那么大,別說是360,就是其它殺軟也很難過。各種殺軟首先殺的就是這個遠控了。新手要想過360,要找沒什么名氣的遠控。就是大家不常用的。再說你用的 MYCCL定位器已經過時了,隨著殺毒軟件的不斷更新,現在定位器用的是multiCCL 了。
myccl:特征碼定位器使用教程
這個很簡單的,先把你的客戶端導入,看CODE的起始位置,填入,然后長度就是CODE后面那個物理長度。
切塊,一般來說先切5-10塊,生成。然后殺毒,二次生成,再殺毒,殺到沒有,再切片。就看到特征碼了。
特征碼的偏移長度一般在00000002就對了,用C32或者OD都可以改。一個是靜態反編譯一個是動態,看你的情況了。
