常用的定位木馬病毒特徵碼的工具有三款,一款是CCL,一款是MultiCCL,另一款就是MYCCL。MYCCL是CCL的改進版,可以進行多重特徵碼的定位。
簡介,定位原理,
簡介
常用的定位木馬病毒特徵碼的工具有三款,一款是CCL,一款是MultiCCL,另一款就是MYCCL。CCL程式出現後,使得特徵碼修改已經成為了對付防毒軟體的常用手法,但是防毒軟體開始使用多重複合特徵碼來對付特徵碼修改就是說只有你同時改掉程式所有的守護特徵碼此程式才不被殺。CCL這樣的定位工具無法直接定位出特徵碼,要定位複合特徵碼必須手工劃分,而MYCCL是CCL的改進版,可以進行多重特徵碼的定位,針對金山等殺軟的反向定位等功能,並實現自動化代碼定位和顯示。
定位原理
假設一段木馬程式代碼是這樣(0代表NULL,X代表程式代碼,a、b、c等代表特徵碼):
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
當檔案同時包含a.b.c三種特徵碼的時候,殺軟就報毒啦。這就是所謂的複合特徵碼。當然殺軟在定義複合特徵碼的時候可能有好幾種組合,好幾套特徵碼。當是複合特徵碼的時候,在用CCL來定位結果是很困難的。而MyCCL在CCL的基礎上又進步了。這裡我們手動用MyCCL來生成5個檔案。
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
從File2開始就有了abc特徵碼的組合,File2到File5就被殺了。被殺以後再用MyCCL,進行二次定位,這樣我們就知道了特徵碼c的位置了。然後再把002h那行置0,再生成一次。
第二次生成5個檔案:
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
因為002h被我們置0了,這裡只有File5有abc特徵碼了,所以File5被殺,這時另一處c也暴露出來了,這樣我們就把所有c特徵碼都定位出來了。MYCCL解決了CCL定位複合特徵碼的困難。