特征码免杀之MYCCL应用

大家好！ 我是“唐山味儿不浓” QQ：38458699

其他视频：https://www.360docs.net/doc/cf880676.html,/v1/group?g=0038458699480bc71500 (黑客爱好者吧)

今天是：2008-05-15 四川汶川7.8级地震已过三天，愿四川受难的朋友们早日脱离苦海，也愿全中国人伸出援助之手，大力支援四川，尤其是唐山人更要献出自己一份力！哪怕捐献1元钱！

教程名称：
特征码定位免杀之MYCCL、C32asm、OD的应用 （教程中附带相关工具，除OD外，help.exe为做试验用的病毒样本）

免杀对象：灰鸽子服务端木马 目标：过卡巴 本次免杀方法介绍：2种

所需工具：

MYCCL.exe特征码定位器、OC.exe偏移量转换器、C32asm静态反汇编、Ollydbg.exe(简称OD动态反汇编)、杀毒软件。

简介：
本教程主要讲解如何用MYCCL定位病毒特征码，及改写之达到免杀目的。众所周知，修改特征码过杀软是终极方法，也是相对麻烦的，本次教程以最简单的实例来讲述修改特征码过卡巴的方法，大家要学会举一反三；

推存几个做免杀的在线杀毒网站：
1） https://www.360docs.net/doc/cf880676.html,/ 速度比较快，杀软少些
2） https://www.360docs.net/doc/cf880676.html,/zh-cn/ 速度慢，杀软较多
3） https://www.360docs.net/doc/cf880676.html,/ 速度适中，杀软较多

先介绍一下免杀相关：

杀毒软件杀毒的特点

1.文件查杀有代表性的杀软： 卡巴.NOD32.
2.内存查杀有代表性的杀软： 瑞星.
3.行为查杀有代表性的杀软： 安全卫士360.
4.新型的数据流查杀方式： 金山
5.启发式查杀及主动防御查杀： 卡巴7.0. NOD32.

免杀的原理：

1.修改入口点.或直接入口点加1
2.加壳加花伪装
3.修改特征码


开始实施免杀过程：

1、配置好鸽子服务端，不要用UPX压缩，生成木马文件; 试验是否能成功上线，是否被杀。

2、运行MYCCL.exe,单击“文件”载入刚才生成的木马文件，“目录”可不用改

3、成功载入后，可看见“PE文件 节表信”，病毒特征码一般在CODE代码范文内，再把“起始位置”“物理长度”下的CODE 代码 复制到MyCCL的“开始位置”和“分段长度”中。

4、设置好“分块数量”点击“生成”
技巧：
分块数量即生成文件数量，最初即先设置较小的数如20，来确定病毒特征码的大范围，第二次或更多次，再把范围缩小，但最好不要太大（100以内）；主要还是多练习，取决于经验！

5、用这对所做免杀的杀毒软件开始查杀，杀完后，点击“二次处理”，再次用杀软查杀，直至未发现病毒为止。

6、点击“特征区间” 右键点击 特征码处，选择 “复合定位此处特征”，填写“分块数量”再次重复以上4、5、6步骤 ，直至定位到特征码分段长度小于2为止（

显示为XXXXXXXX_00000002）

7、记下特征码地址,然后运行“OC.exe”,查询特征码对应的内存地址

特征码 十六进制数据 内存地址
00006F59_00000002 08 00 00407B59

8、开始实施免杀：
第1种相当简单； 用C32Asm修改特征码对应的十六进制数据 原来为 08 00 改为00 00 即可，看我操作。
先复制个副本。修改完后开是否已经免杀，及能否上线

第2种稍复杂；用OD来反汇编，修改特征码处的汇编代码，方法有很多，需要根据经验随机应变。

常用方法有：
1）用通用跳转法； 把特征码改跳到其他位置
2）移位调换法； 如果是跳转或者call或者mov同时存在，可以尝试交换
3）nop移位法；
4）大小写修改法 ；
4）指令替换法； add ecx,1改sub ecx,-1; push eax改pop eax；sbb—adc; je 004XXXXX改jnz 004XXXXX；
5）强制NOP填充； 强制把特征码地址处用00 填充，但极大可能造成致命错误

其他方法：
add eax,410000改add eax,410001
call或jmp 004XXXXX可以追踪到004XXXXX查看代码，是否有十六进制00可以改CALL或JMP地址等等



再这咱们用用通用跳转法，把特征码位置更换

通用跳转法----即找到特征码所在地址，把特征码地址NOP（空指令）掉，然后JMP（无条件跳转）跳转到无用的空数据代码地址处，再空数据区填上刚才NOP掉的语句。

说不太明白，还是看我操作吧！

先找定位到特征码地址，再向下查找未用区间如大范围的0000、或nop 等

技巧：
JMP 到指定地址时，要去掉原地址的“short 文件名.” 否则会出现错误提示；下载ASMfun（用来查看汇编代码作用）

以下是特征码地址附近代码
00407B56 /0F87 94080000 JA help.004083F0
00407B5C > |8BC3 MOV EAX,EBX
00407B5E （跳回地址）



以下是空地址范围处代码
00412BFD （跳入地址）



保存改变，生成新文件，试验能否被杀及上线

注：
对于咱们汇编知识不是很好的菜鸟来说，每次操作改写生成文件后，都要试验能否正常运行及上线。千万不要一气呵成，造成白浪费功夫，尤其是修改过瑞星的特征码，其特征码不止一个。


重要提示：

1）修改完主要杀软特征码后（如瑞星），再结合菜鸟免杀之加花加密壳方法，可以达到登峰造极的境界！

2）最好少用在线查毒测试免杀，本人分析或者说是怀疑，杀软公司可能和在线查毒网站有勾结；如你扫描的病毒样本有30%的认为是病毒，但瑞星没有查出，是不是有可能杀毒网站给瑞星提供病毒样本，定期索要样本费。呵呵！纯属个人猜测！


教程到此结束！

再见！！