MyCLL怎么复合和定位特征码
展开全部
打开mycll:
文件:选择需要定位的文件
目录:生成的临时文件的目录,默认的是当前目录,文件名是OUTPUT。
分块个数:分的越多杀毒的时候越慢,建议刚开始的时候分的块少一点,这样定位的时候块。
特征区间(灰色字体):检测出来的特征码的区间。一般刚定位出来的时候区间很大,我们的目的是把它定位到2个字节,因为16进制显示的最小单位都是两个字节。
正向:点一下就成了反向了,就是从头到位或者从尾到头的意思,按照个人习惯。一般就是正向就是了。
复合定位,单一定位:此处我们选择复合定位,因为现在的特征码都是复合特征码了,没有单一特征码了。单一特征码即是说文件里只有一个特征码,复合特征码就是说里面有好几个特征码。有机会再详细解释特征码的原理和东西。
Mycll使用起来很简单。
第一步,加载文件,分块个数设置为10。Output文件路径可以自己定义。
点生成。
点yes。弹出对话框:
点ok。然后对output文件夹进行杀毒。
报告有木马选择“应用到所有”,点删除。然后点二次生成。点“二次处理”,
点ok。对output文件夹进行杀毒。
已经没有病毒了。如果有病毒,吧病毒删除掉,然后继续点二次处理,知道杀不到病毒为止。
此处已经没有病毒了,再一次点击“二次处理”,就会出现病毒的区间,就是那个特征码分布示意图。
然后点击“特征区间”,打开特征区间。特征区间上右键,选择复合定位此处特征码,或者复合精确定位此处特征码,这两项我感觉没有说明区别。
然后分块个数还是设置为10。这次我们查找的是从EFA4长22c1个字节长度的特征码,这也是我们刚才定位的特征区间。我们可以看下图,和第一次的时候开始为止和分段长度都不一样了。我们用和上面同样的方法定位,一直定位到长度为2个字节。
点生成,杀毒。然后点“二次处理”,再次杀毒,再点“二次处理”,杀毒,“二次处理”,直到出现特征码。
和上面同样的方法,加载特征区间,生成,杀毒,二次处理,杀毒,二次处理,杀毒,二次处理。直到没有特征码出现。当文件小一点的时候,可以吧单位长度改成2,这就定位精确了。
直到定位到2个字节。
两个特征码。
文件名:D:\studysoft\pcshare1125\update\PcMain.dll
文件:选择需要定位的文件
目录:生成的临时文件的目录,默认的是当前目录,文件名是OUTPUT。
分块个数:分的越多杀毒的时候越慢,建议刚开始的时候分的块少一点,这样定位的时候块。
特征区间(灰色字体):检测出来的特征码的区间。一般刚定位出来的时候区间很大,我们的目的是把它定位到2个字节,因为16进制显示的最小单位都是两个字节。
正向:点一下就成了反向了,就是从头到位或者从尾到头的意思,按照个人习惯。一般就是正向就是了。
复合定位,单一定位:此处我们选择复合定位,因为现在的特征码都是复合特征码了,没有单一特征码了。单一特征码即是说文件里只有一个特征码,复合特征码就是说里面有好几个特征码。有机会再详细解释特征码的原理和东西。
Mycll使用起来很简单。
第一步,加载文件,分块个数设置为10。Output文件路径可以自己定义。
点生成。
点yes。弹出对话框:
点ok。然后对output文件夹进行杀毒。
报告有木马选择“应用到所有”,点删除。然后点二次生成。点“二次处理”,
点ok。对output文件夹进行杀毒。
已经没有病毒了。如果有病毒,吧病毒删除掉,然后继续点二次处理,知道杀不到病毒为止。
此处已经没有病毒了,再一次点击“二次处理”,就会出现病毒的区间,就是那个特征码分布示意图。
然后点击“特征区间”,打开特征区间。特征区间上右键,选择复合定位此处特征码,或者复合精确定位此处特征码,这两项我感觉没有说明区别。
然后分块个数还是设置为10。这次我们查找的是从EFA4长22c1个字节长度的特征码,这也是我们刚才定位的特征区间。我们可以看下图,和第一次的时候开始为止和分段长度都不一样了。我们用和上面同样的方法定位,一直定位到长度为2个字节。
点生成,杀毒。然后点“二次处理”,再次杀毒,再点“二次处理”,杀毒,“二次处理”,直到出现特征码。
和上面同样的方法,加载特征区间,生成,杀毒,二次处理,杀毒,二次处理,杀毒,二次处理。直到没有特征码出现。当文件小一点的时候,可以吧单位长度改成2,这就定位精确了。
直到定位到2个字节。
两个特征码。
文件名:D:\studysoft\pcshare1125\update\PcMain.dll
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
