MYCCL特征码定位问题?
为什么我用MYCCL定位特征码的时候,到最后定的位是000002明明已经不被杀了。但是用他做跳转法或填充法,用杀毒软件检测时还是被查杀了。使用0000002前面的花指令。...
为什么我用MYCCL定位特征码的时候,到最后定的位是000002明明已经不被杀了。
但是用他做跳转法或填充法,用杀毒软件检测时还是被查杀了。
使用0000002前面的花指令。
首先我先看下木马的大小,如果木马是700K左右,
我先填写20个分块,查杀到没有病毒后,填充以后。(区间)
接着我在输入100个分块个数,执行相同的操作。
他好像有自动的分成了还是100个分块左右的个数,长度是2.(这里我就不修改了,因为他的长度是2我看已经复合定位了)
还是执行相同的操作。 反正最后是000002了,个人认为花指令不是很长了。
问题是, 我定好们以后在C32里面做跳转法,还是填充法,程序还能正常的运行,但是还是被查杀。不知道为什么? 1楼朋友先谢谢你了,还能回来帮帮我吗? 展开
但是用他做跳转法或填充法,用杀毒软件检测时还是被查杀了。
使用0000002前面的花指令。
首先我先看下木马的大小,如果木马是700K左右,
我先填写20个分块,查杀到没有病毒后,填充以后。(区间)
接着我在输入100个分块个数,执行相同的操作。
他好像有自动的分成了还是100个分块左右的个数,长度是2.(这里我就不修改了,因为他的长度是2我看已经复合定位了)
还是执行相同的操作。 反正最后是000002了,个人认为花指令不是很长了。
问题是, 我定好们以后在C32里面做跳转法,还是填充法,程序还能正常的运行,但是还是被查杀。不知道为什么? 1楼朋友先谢谢你了,还能回来帮帮我吗? 展开
2个回答
展开全部
跳转和填充不一定就能够过免杀,你首先要确定你定位的正确与否,最好的办法就是先填充,填充0,给你定位出来的特征码填充为0然后保存,然后用杀软杀一下,当然你填充之前一定要备份,用杀软杀一下就知道是不是你定位的正确了。但是用0填充多数情况下都是软件不能用,不过我们要测试的是你的特征码正确不正确。
希望楼主可以明白!
希望楼主可以明白!
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
