木马免杀是一门技术活,要想把木马免杀做好,那么扎实的基本功是必不可少的。今天就来给大家介绍一下木马免杀中常用到的一款 特征码定位工具。不论是在二进制文件免杀亦或是在源码免杀中,你或多或少都会看到他的身影存在。本文章转载至《黑客技术流》
要想给木马程序做好免杀 那么就必不可少的,需要知道杀毒软件查杀的是哪一句代码。如果不借助任何工具 当当只是靠我们自己手动去查找报毒代码的话,那么可想而知肯定是非常麻烦的。
MYCC特征码定位工具就是一款负责用于查找报毒代码的工具,MYCC可以轻松的定位到是哪一句代码被杀毒软件给查杀。,快速精准定位特征码的同时,也大大的减轻了工作负担,下面就让我们一起来看看MYCC是怎么使用的吧。
1.下面的geek.exe就是MYCC定位工具,简单的重名名了一下防止杀毒软件检测到MYCC的进程从而进行干扰。百度网盘.exe就是木马程序,右边的主窗口就是MYCC的界面。
image
2.咋一看MYCC的界面好像有点复杂,需要填写的东西有不少。其实不然 你只需要关注一下,下面的这几个关键点就可以了,实在不行你也可以全部默认不修改,不过这样会增大杀毒软件干扰的几率。
文件:选择需要定位特征码的木马程序
目录:自动生成一个目录 存放木马样本
分块个数:生成的木马样本的个数(尽量100以内免得电脑很卡)
特征:用于填充特征码的字符串(16进制数)
开始位置:代码段定位的开始位置
正向:正向定位与方向定位
image
3.分块数量我填写的是20块 填充用FF,目录名称也简单的修改成了jojo,尽量不要用默认的配置减少干扰几率。配置好后点击生成按钮,就会在你选定的路径下自动生成一个jojo的目录,用于存放生成的木马样本。
image
4.把jojo目录里面的木马样本用杀毒软件扫一遍,报毒的用杀毒软件处理掉,然后打开MYcc点击二次处理,点击二处理后会继续在jojo目录生成20个木马样本,接着继续用杀毒软件查杀。一直重复 生成>>查杀>>二次处理>>查杀>>二次处理... 这个动作,直到杀毒软件不在查杀为止。
image
5.杀毒软件不在查杀木马样本后,点击二次处理会弹出一个特征码分布图。接着点击《 特征区域 》按钮会弹出特征区间框,选中第一处特征码 右击 选中菜单中的 《复合定位此处特征码》选项。然后接着重复第4个步骤的操作。
image
6.重复完第4个步骤的操作你会发现,我这里又多了一处特征码。我们先不要管他有几处特征码,继续重复第5个步骤定位第一处的特征码,直到第一处的特征码最后一个数字小于10才停止。
image
7.列如 下面的第一处特征码最后一个数已经小于10了,那么就可以停止对第一处特征码的定位了,按照上面的第5个步骤开始定位第二处的特征码。
image
8.如果在定位第二处特征码期间,又多处几处特征码,那你就按照第5个步骤一直重复。直到所有的特征码最后一个数字都小于10时,那么你就可以停止了,定位工作也算是基本完成了。
image
因为用来定位特征码的程序有所不同,所以存在的特征码也会不尽相同,有的程序可能只有一处特征码,而有的程序可能会存在多处特征码。MYcc可以点击 《星空海论坛》 这里进行下载
网友评论