手把手教你定位特征码

特征码的类别与定位




1 什么是特征码

杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为他识别病毒的方式。
这种代码就叫做病毒的特征码。如果我们将这个代码变更或者修改。就会使得杀毒软件对其无法查杀。


2 特征码的分类

文件特征码 内存特征码
单一文件特征码 复合文件特征码 单一内存特征码 复合内存特征码

下面具体解释下

A：文件特征码
文件特征码就是病毒程序代码中的一句或几句被杀毒软件作为识别的的代码，
举例来说。你为病毒。我是杀毒软件。，我把你的名字做为查杀对象。那么你的名字就是文件特征码


B：内存特征码

内存特征码是程序运行以后。在windows内存中的运行代码。
举例来说：你是病毒，我是杀毒的。你在我家里搞了什么破坏。或者有什么痕迹。我把这些做为认定你是小偷的根据。
这些根据就是内存特征码

C：单一特征码

单一特征码就是说，一个程序中的一句代码被杀毒软件做为识别标志。修改掉就可以免杀

D：复合特征码

一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀







我们会在今后的教程中举例来对以上几种特征码进行定位教程。





首先我们来学习定位文件特征码


先介绍原理。


举例来说“比如我的电脑硬件损坏，导致不能正常使用。但是我又不知道哪里不正常。用最笨的方法怎么判断出哪里是出错的地方呢？首先。
我要对电脑大概进行判断，是显示器不正常还是机箱不正常 于是我更换了显示器。发现依然有错误。那么可以判断出。
出错的地方在机箱。于是我进一步缩小范围。来分块判断是CPU不正常还是主版内存不正常。于是我更换了CPU。发现还有毛病。
从而判断出出错的地方是主版或者内存。再进一步更换了内存。发现还是有错误。把目标锁定在了主板。最后。
我更换了主板，发现电脑修好了。”

这就是特征码的定位原理。



下面具体介绍代码替换免杀原理


文件特征码定位原理

先自动生成了几个或多个文件。其中把这些文件中的部分代码过滤掉。用杀毒软件查杀后。
有2种情况。被杀和不被杀。如果文件没有被杀掉。就证明该生成文件中的代码已经被过滤掉了。也就是说。
代码就在过滤的部分里。由于被过滤。所以导致没有被杀死。


而那些被杀的文件呢。说明文件里面还存有特征码。但是这个文件中的代码的大致部位没有上面被杀的文件的部位精确。
（为什么？因为

免杀的东西才叫精确嘛。因为上面的文件免杀。所以我们判断出来特征码是因为被过滤掉所以就在被过滤的地方。）

我们知道了大致位置以后。就要继续进行重复这个步骤。分块过滤。生成文件。杀毒。挑选免杀的文件特征码继续进行精确定位。。


说起来都这么麻烦。更别说手工做了。。用工具来操作吧。早就有前辈做好了工具了

MYCCL特征码定位工具。
MYCCL里面也有说明书，比我解释的要清楚专业。能不能懂就别怪我了。。上面说的够清楚啦。。。自己反复多看多想几遍就懂了。




大体积的分小50-100
小体积的分块100-200