MYCCL的用法和原理

]] 使用篇 [[

载入程序，然后分块写10(刚开始应先少数量划分，先确定大范围)。起使位置最好写代码段code,或者txt然后程序会把代码段分成10块，然后从第1块开始恢复，并生成文件。生成完毕后，用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话，可以在杀掉第一个文件的时候就停止杀毒，此时特征码已经找到)。然后点击[二次处理]程序会自动记录第几个文件开始查到毒了，那个就是第1个特征码。程序会把有特征码的地方添0 并记录在右面，然后把后面的文件分10块开始从头恢复。这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。

因为分为10块所以每块都比较大，这时候需要进行精确。在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。

关于内存复合特征码定位原理和文件定位是相同的，只是用程序把生成的文件全部装载到内存中去了，然后用杀毒软件对内存进行查杀。找到报毒的文件，然后手工删除或者在特征码设置中手动添加即刻。其余 *** 作和文件定位相同。

]] 致谢 [[

MyCCL不是突然冒出来的，都是有了前辈们的摸索才会有不断的进步。在此感谢制作CCL的作者，以及提出定位特征码概念的作者。在程序编写中，各位网友也给了很大的帮助。主动帮忙测试Bug和提出意见和改进之处。在此，特别要感谢[乱刀],多次给程序提出重大改进方案以及智能处理，还为我写了这个简要的说明，呵呵，真是非常感谢！

]] 声明 [[

本软件仅用作技术研究，禁止用于非法用途，否则后果自负！禁止用于商业，DIY请保留原作者信息。

]] 常见问题 [[

问:为什么我只找到1处特征码,没有找到复合特征码

答:说明被查找程序只有一处特征码还有可能是文件划分块数过少,使程序处理得不够精确

问:为什么用单一定位的时候定位不出特征码

答:可能检测区间当中还存在多处复合特征码,必须继续使用复合定位,直到该区间只剩一组特征码为止

问:怎么在MyCCL中快速启动TKLoader

答:鼠标右键点击输出目录框,会d出启动菜单

问:生成的文件带后缀有什么用

答:生成带后缀的文件主要是内存定位的时候程序只能装载带后缀的文件文件定位的时候一定不要打开,否则会与某些杀毒软件冲突,定位出错误的特征码

问:怎么播放选的背景音乐

答:Shit!这不是点唱机!!!! -___-!!

------------------------------------------------

(+)OLD Version

1[41]修改了几处细节错误

2[41]起始位置改为从0算起而不是1

3[41]加入高级分段空间调整

4[41]加入PE节块信息分析

6[41]改进了分布视图功能

7[41]加入了精确定位功能

8[42]加入自定义填充码功能

9[42]加入反向填充功能

10[42]加入复合定位和单一精确定位(CCL方式)

(+)What's New

1[43]更新至11版本

2[43]对内存复合定位进行修改

3[43]加入内存复合特征码辅助定位工具

4[44]修正一些细节Bug

5[44]加入新版本检测功能(本来不想加的,但是我的myccl当初做的时候有点粗糙,小Bug比较多)

6[44]修正了单一定位模式的一处致命错误,请大家及时更新

7[45]修正了MyCCL运行时CPU占用资源过多的问题

8[45]对保存Log的内容进行筛选

9[48]对内存定位载入失败问题进行修改(感谢niu-cow大哥提供帮助)

x还有还有我忘记了-___-!!

因为比较匆忙，没有来得及做详细的教程和DEMO，希望哪位人兄帮我写写教程或者出几个DEMO。我会把地址贴到上面来的，3X!

以前我们定位特征码都是应用CCL这款软件，对于特征码免杀来说确实很方便，但是随着杀毒软件的技术更新，我们所生成木马的特征码不再是单一的，而是多区多段，比如以前我们用OD可以一半一半法定位特征码，但是现在，你把所有区段都NOP了，也是查不出来特征码的，为什么呢？因为现在的杀毒软件都是把文件特征码和内存特征码混在一起，并且设定的特征码位置比以前多了很多，并不象以前只是把特征码定位在CODE里而且只有一个。例如：

PE文件 节表信息 这个是黑防灰鸽子的客户端共有8个区段

文件名:D:\Documents and Settings\AdministratorBPLG\桌面\MYCLL(定位内存组合包)\Serverexe

节名称 起始位置 物理长度

CODE 00000400 000A1200 以前特征码多数在这个区段，并且只有一个

DATA 000A1600 00002C00 现在的特征码有很多处。

BSS 000A4200 00000000

idata 000A4200 00003400

tls 000A7600 00000000

rdata 000A7600 00000200

reloc 000A7800 0000A400

rsrc 000B1C00 00008200

首先，我们要知道现在的杀软，以瑞星查杀内存是最厉害的，瑞星内存免杀能过的话，其他大多数杀毒软件的内存都基本能过的。所以今天我们就以瑞星杀软，对MYCCL进行讲解。修改特征代码免杀一般分为文件和内存二种，我们要先查找文件特征码进行免杀（表面免杀），然后才可以查找内存特征代码进行免杀。有的朋友错误的认为，给木马加壳、加花、加密，这样文件（表面）免杀了，然后再用这个查找内存特征码，这样理解是错误的。

现在我们开始进行黑防灰鸽子的文件特征码定位查找：

首先我们要生成一个无壳的鸽子客户端，我已经生成好了。打开MYCCL复合特征码定位器软件，把我们要查找的鸽子打开，带后缀不要选（这个在查找内存特征码时在选上）。目录，我在桌面已经建一个了，大家可以随便建一个。分块个数设置在50—100之间。单位长度和填充我们默认不写；开始位置我们写这里的：

区段 开始位置 分段长度

CODE 00000400 000A1200

95%的特征码都是在这个区段里。

正向（反向）都可以，无所谓。结束位置是自动的，我们不用管它。选复合定位，因为特征码不是一个，会有很多个，所以选复合定位。开始点生成。2次处理前，我们对生成的文件用瑞星进行查杀并删除。我们继续2次处理，用瑞星杀毒删除，直到查不出为止。

特征码 物理地址/物理长度 如下:

[特征] 00092E3D_00001DB3

[特征] 000969A3_00001DB3

[特征] 0009C2BC_00005919

这里一共有3大段，我们看其中一个， 00092E3D这个是特征代码；00001DB3这个是此特征代码的偏移量，偏移量太大了，怎么办？我们继续。使它更精确一些。

选其中一个，复合定位此区间，它默认的分块个数太大，我们重新设置分块，我们设置100，重复上面的步骤。

刚才的偏移量由00001DB3缩小到0000004C。但是它还是比较大，我们继续对它进行缩小定位，步骤和上面一样。我们看单位长度已经在2了，所以我们就不用进行分块设置了，这里大家也看到了，分块越大，单位长度越小，但是分块越多，我们生成的文件数也越多，生成的文件数太多的话，我们的电脑会受不了的呵呵。我们所要的精确定位就是偏移量在2或4，太大我们无法进行特征码的修改，下面我们继续把其他大的偏移量缩小，步骤是一样的。

[特征] 000969A3_00001DB3

[特征] 0009C2BC_00005919

这二个是大的偏移量，你们应该知道怎么精确的去定位了吧。

还有要说明的是我们的分块个数是怎么设置的，大的文件（比如鸽子700多k）一般设置在100—200之间，小的文件分块个数设置在100以内就可以了，二次处理的时候会出现分块个数是100多点（比如114），单位长度是2，这样我们就不需要在改回分块个数是100了，因为单位长度2或者是4，正好是我们所需要的大小。

这是我定位好的了，一共有9处：

特征码 物理地址/物理长度 如下:

[特征] 000949A7_00000002

[特征] 00094B3D_00000002

[特征] 000973E9_00000002

[特征] 0009CBBC_00000002

[特征] 0009F5A6_00000002

[特征] 000A0A46_00000002

[特征] 000A0DD2_00000002

[特征] 000A1250_00000002

[特征] 000A12A2_00000002

我们测试一下，看看是否正确。用WinHex进行修改，也可以用UltraEdit或者C32Asm都可以。我们找到特征码所在的位置，偏移量是2个字节，我们用0填充，为了节余时间，其他的你们填充吧。看到了，修改正确。

加壳 加花 都可以

按照你提的问题 首先用MYCCL 定位 这个网上视频自己去看 原理大概就是不停地分块 杀软在来查

然后在细化

找到特征码后 用OD打开免杀的东西 ctrl+g 输入特征码 就到了 至于如何修改 一般是用nop充填

当然如果是关键代码的 就很麻烦了 jmp push。。。。。。

千万别用网上出名的木马 如灰鸽子PCSHARE 这样特征码定位出来很多至少30多处

还有你不是无码吗？ 加花 重建输入表 输出表 这些都可以 不过你得去学汇编

机器设备序列号是357113030086367版本M1364-T3203-2721J09加分求激活码！！！ 357113030086367是特征码吗？若是，激活码5098466226046190 有个叫戴依婷的

这个很简单的，先把你的客户端导入，看CODE的起始位置，填入，然后长度就是CODE后面那个物理长度。

切块，一般来说先切5-10块，生成。然后杀毒，二次生成，再杀毒，杀到没有，再切片。就看到特征码了。

特征码的偏移长度一般在00000002就对了，用C32或者OD都可以改。一个是静态反编译一个是动态，看你的情况了。

特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。每个杀毒软件公司都有自己的特征码提取方法和提取工具，这也是特别需要技术的地方，弄不好就造成误判，将好文件当成病毒给杀了。杀毒软件公司在提取特征码后，一般都需要经过较严格的测试和比对，当然也有时间紧迫，来不及充分测试就匆匆升级病毒库（也就是特征码库）的情况，前不久的Norton误删windows系统文件就是这样造成的。

楼上说的对，特征码比对是当前主流杀毒技术的尴尬，但它确实是针对已知病毒最有效，并经过证明稳定可行的方法。缺点是对未知病毒没有防范能力，杀毒总是跟在病毒后面跑。所以，各杀毒公司也有一些自己的查杀未知病毒的技术。目前，也有一些基于行为特征的主动防御的商业软件(被称为HIPS)推出，比如System Safety Monitor等。

问题一：如何用特征码下载 打开BT下载工具（迅雷，快车，旋风，Bitet，BitTorrent,,uTorrent等等），例如迅雷。

在特征码前面加上：magnet:xt=urn:btih:

例如：

点击继续后，会出现此d窗，等几秒，获取磁力链接，然后就能得到地址。

注意：有时候特征码是43位的，这就需要去掉前三位

问题二：BT下载时验证码是怎么使用的 在前面加个 magnet:xt=urn:btih:

问题三：怎么使用特征码 工具/原料

BT下载工具（迅雷，快车，旋风，Bitet，BitTorrent,,uTorrent等等）

步骤/方法

1找到我们要下载的**的特征码，例如，新任女教师剧场版DVD-RMVB/中字：dd4486a844ac0e32a1b2f843e6492af429e34f29（该字符串，一般是40个字的一串字母和数字的组合）

2打开BT下载工具（迅雷，快车，旋风，Bitet，BitTorrent,,uTorrent等等），例如迅雷

3在特征码前面加上：magnet:xt=urn:btih:

4点击后，会出现此d窗，等几秒，获取磁力链接

5是不是得了地址了呢

6已经开始下了

7有时候特征码是43位的，这就需要我们去掉前三位

注意事项

部分下载软件会自动识别这些特征码，所以可能有些人可以直接下载。但是考虑到国内用户以迅雷居多，迅雷目前版本不会自动识别特征码并加上地址头。

详情参考

jingyanbaidu/b

问题四：下载的js代码怎么用 有两种方法,

第一种:

就是在你的网页直接加入js代码你的js代码

第二种:

把你的js文件，跟你的网站首页（可能是index），同放在一个目录下。然后在你的html里的和之间任意位置放下面这条代码进去（提示js,这个星号是文件的名字，你可以随便起）：

问题五：网上下载的源代码怎么用啊 一般来说，网上下载源代码的时候，需要先弄清楚源代码的编译环境。最理想的情况就是下载你所需编译环境的代码。当然，如果没有适合你编译环境的代码，你可以先用源代码编写时候的环境来打开，然后再把需要的代码拷贝到自己的环境下。

问题六：请问种子的验证码怎么用 在迅雷这些软件的新建下载里面先输入magnet:xt=urn:btih: 然后在后面输入你的验证恭或者哈希效验码！

快播、旋风什么的都可以！

问题七：网上下载的管理系统代码应该怎么用 挺简单 简单的，创建一个web项目，把上面的文件全部拷贝到你的项目里面，然后打开数据库，将数据库文件用数据库给创建一下，具体步骤就这些，还有不懂可以私信，我帮你看看

问题八：如何使用下载的源代码 首先打开你要下载小说的页面 然后在你所用的浏览器右上方工具栏中 点击 文件―保存网页―出来对话框之后选择的保存类型为（网页，仅HTML) 网页就保存在你的桌面上了，双击就可以直接打开。这其实就是保存网页的方式，没有网络也可以打开。当然你要是下载小说的话 建议按照楼上的说法 更省事一些 你自己 *** 作看看吧

问题九：下载的JS代码具体怎么用？ 在标签中写上,把你上述的代码放在里面就好了！

以上就是关于MYCCL的用法和原理全部的内容，包括:MYCCL的用法和原理、怎么无特征码免杀呢 要用到什么工具呢、凯立德激活码工具的特征码是机器设备序列号吗软件版本号跟 版本系列 地图版本有何区别哪位高手解答一下3Q.等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！