Myccl

Myccl

MYCCL是一款多特徵定位特徵碼殺毒軟體,所謂特徵碼就是具有一定特徵和特點的一連串字元,而這串字元就是被殺軟定義已文件是否是病毒的依據。現在人們常用的定位木馬病毒特徵碼工具有兩款,一款是CCL,另一款就是MYCCL。CCL程序出現后,使得特徵碼修改已經成為了對付殺毒軟體的常用手法,但是殺毒軟體開始使用多重複合特徵碼來對付特徵碼修改就是說只有人們買同時改掉程序所有的守護特徵碼此程序才不被殺。CCL這樣的定位工具無法直接定位出特徵碼,要定位複合特徵碼必須手工劃分,而MYCCL是CLL的改進版,可以進行多重特徵碼的定位,針對金山等殺軟的反向定位等功能,並實現自動化代碼定位和顯示。

基本介紹


MYCCL簡介
常用的定位木馬病毒特徵碼的工具有三款,一款是CCL,一款是MultiCCL,另一款就是MYCCL。CCL程序出現后,使得特徵碼修改已經成為了對付殺毒軟體的常用手法,但是殺毒軟體開始使用多重複合特徵碼來對付特徵碼修改就是說只有你同時改掉程序所有的守護特徵碼此程序才不被殺。CCL這樣的定位工具無法直接定位出特徵碼,要定位複合特徵碼必須手工劃分,而MYCCL是CCL的改進版,可以進行多重特徵碼的定位,針對金山等殺軟的反向定位等功能,並實現自動化代碼定位和顯示。
MyCCL定位原理
假設一段木馬程序代碼是這樣(0代表NULL,X代表程序代碼,a、b、c等代表特徵碼):
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
當文件同時包含a.b.c三種特徵碼的時候,殺軟就報毒啦。這就是所謂的複合特徵碼。當然殺軟在定義複合特徵碼的時候可能有好幾種組合,好幾套特徵碼。當是複合特徵碼的時候,在用CCL來定位結果是很困難的。而MyCCL在CCL的基礎上又進步了。這裡我們手動用MyCCL來生成5個文件。
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
從File2開始就有了abc特徵碼的組合,File2到File5就被殺了。被殺以後再用MyCCL,進行二次定位,這樣我們就知道了特徵碼c的位置了。然後再把002h那行置0,再生成一次。
第二次生成5個文件:
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
因為002h被我們置0了,這裡只有File5有abc特徵碼了,所以File5被殺,這時另一處c也暴露出來了,這樣我們就把所有c特徵碼都定位出來了。MYCCL解決了CCL定位複合特徵碼的困難。