MYCCL定位器

详细讲解MYCCL使用方法及使用技巧
========================================== ========================================== ============
一、MYCCL的原理
1、正向与反向：
2、复合定位与单一定位：
3、填充数据：
木马文件复合定位（正向）单一定位（正向）
DFE2312DAWD24DAD DFE2000000000000 00E2312DAWD24DAD
WR341ASFWR123412 0000000000000000 WR341ASFWR123412
4SAFASFW31DADG23 0000000000000000 4SAFASFW31DADG23
3432FSFFGSRF4124 0000000000000000 3432FSFFGSRF4124
21DASDD11314SFFR 0000000000000000 21DASDD11314SFFR
复合定位是一种还原模式，单一定位是一种填充模式。

二、MYCCL的设置：
文件目录
分块个数单位长度填充
开始位置分段长度正向/反向
结束位置复合定位/单一定位
三、步骤：1、选择文件
2、分块个数（一般不要用10，50，100等整数，防止杀毒软件的干扰机制）
3、填充数据更改（常见填充数据有00 FF 90，建议使用随机任意的填充数据）
4、选择开始位置（如PE头不存在特征码，则建议使用区段的起始位置，一般为400）
5、选择复合定位，点生成。

6、杀毒软件杀生成的文件
7、点二次处理，返回到步骤6
8、6和7不断循环，直到杀毒软件不再杀到毒为止。

9、点特征区间，进行进一步精准的定位。

并返回步骤2，但是要跳过步骤3.也即2-4-5-6-7-8步骤循环。

总结：几个注意的地方——分块个数填充数据开始位置复合定位。

下面我就来说说怎么用,效果会最好.(个人认为)
1.先打开"MYCCL" 在＂文件＂位置选择你"木马"所在的位置,它会自动
在"木马"当前目录中生成一个"outup"文件夹.
2.分快个数: 简而言之就是在"OUTUP"这个文件夹中要生成的个数. 这
个是由后面的单位长度决定的.如果单位长度越大,则生成的单位个数越
少,特征码就越定的粗像. 反之,则不同了.不过,经过我实践正明，５０ＫＢ到１００ＫＢ的木马（包含５０ＫＢ以下的）
3.单位长度可以选择１００－２００，５００ＫＢ以上的，这都是比较大
的木马，不能选择５００，最好选７００－１０００．这样，生成的文
件才不会太多，太大．单位长度是什么意思呢？我想了一下子，估计
就是每次对木马作特征码定位时所要填０的长度．这个长度越小，定位
就越精确，生成的文件就越多．
4.还有一个位置，在这里我一般会选择＂单一精确定位＂而不选择复合定
位
操作步骤一般为：
∙把以上的都操作完后，可以点击＂生成＂在ＯＵＴＵＰ这个文件夹中生成木马．
∙打开杀毒软件，对其查杀，把能杀掉的全部删掉．
∙杀完后，就点击＂二次处理＂
∙处理完后，再选择＂特征区间＂在这里是被填０的木马文件没有被杀的一个大概范围．其实＂单位长度不管写多少，他都会生成一些特征区
间的，如果你的单位长度写的越在，则生成的特征区间就越少．越粗像＂打开特征区间，在右边选择一个代码．在上面点＂反键＂选择＂定位单
一特征区间＂
∙再点生成，再对生成的文件查杀．
∙再进行二次处理，再选择＂特征区间＂如果特征区间中有的代码最后两个数字很小，或者只有一个数．比果：００００１２５４＿０００００
０６这个，这时，你可以打开１６进制文本编辑器，找到００００１２５４这个位置，填六个单位长度的０．
再保存，再用杀软对生成的木马对生成的文件进行查杀，发现已不杀．。