精典的ASP 传奇的J2EE 新生的NET FTP服务器服务器安全 WINDOWS B/S 模式 WEB安全 WAP世界动态网站推广宣传
空间服务器数据库技术邮局服务器站長工具硬设与组建 Alexa专题 DHTML 项目管理 WEB标准电脑硬件
病毒知识电脑使用布线协议接入交换路由局域网无线网络网络规划
Visual Basic Visual C/C++ Mssql MySql oracle Sybase 存在安全风险进程系统进程列表应用程序进程列表其它进程列表
黑客编程漏洞分析本地提权免杀技术脚本漏洞数据库注入安全防护内网渗透加密解密工具使用
WAP技术 WAP入门

您的位置： >> 相关知识 >> 程序员站长 >> 站長工具 >>

详解特征码定位器（CCL）的使用技巧

合金网络科技

添加日期:2007-4-1 点击次数:343次

特征码定位器的定位原理：逐字节替换法：逐字节(或逐段)将代码替换为0000

(或者别的)，如果进行替换后防病毒软件没有报警，说明特征码已被替换掉，即

特征码在该被替换的位置。

　特征码定位器的定位方法主要有二种：手动定位和自动定位。通常，手动和自

动可以结合使用。通常先手动定位大体范围，比如生成100个文件，检测删除后

只剩下二至三个；再对这剩下的二到三个文件表示的范围用自动定位。效果是非

常好，建议大家都用手动与自动配合使用来准确定位特征码。

下面对这二种定位方法以实例形式进行详细演示：

　一.手动定位

1.定位原理：每替换设定的字节数，就生成一个文件。然后用杀毒软件查杀，若

没被查杀的，说明特征码就在这个文件中。

2.适用范围：只用于文件特征码的定位，一般用于定位特征码的大体范围，以配

合自动定位准确定位出特征码的具体位置。

3.具体操作步骤:

1>.设置---手动参数---选择二种中的其中一种替换方式。（一般个人喜欢选择生

成个数）。

2>.设置---在操作方式中选择“文件特征码手动定位”---在路径设置中选择一个

存放生成样本文件的路径位置。

3>.文件---特征码检测---文件特征码－－选择要定位特征码的木马程序－－按

打开－－来到PE文件段选择---由于是对整个文件的检测所以都用默认.----按确

定,来到生成文件信息----确认无误后点运行就开始生成了.

4>.用各种杀毒软件对生成的文件进行查杀删除.

5>.最后是操作---结果定位---选择刚才生成文件的文件夹---然后按保存定位特

征码的定位结果.

二.自动定位

1.定位原理:这里由于涉及到数据结构二叉数,所以我不多介绍,有兴趣的可以参照

特征码定位器的帮助文件,那里有关于自动定位的原理介绍.这里我们只要知道操

作过程就可以了.

2.适用范围:可用于定位文件特征码,一般用于精准定位文件特征码的位置.也可用

于内存特征码的精准定位.

3.具体操作步骤:

1>.设置---自动参数---填写恰当的生成文件间隔秒数和最小替换字节数.

注意:这里有个生成文件间隔秒数参数很重要,因为我们要保证杀毒软件在这个几

秒钟内对替换过的文件进行了检测，并能删除该文件(如果含特征码的话)，然后C

CL根据刚才的生成文件是否被删除来决定下面的操作,若间隔时间过短,杀毒软件

没来得及检测,CCL就进入下轮操作,这样会产生结果出错.建议先把时间设大一些

，一般在7到10秒之间.

2>.设置---总体参数设置中的操作方式选'文件/内存特征码自动定位----路径设

置中设置一个存放成生文件的路径然后点确定.

3>.文件---特征码检测---这里有三个选项,文件特征码,内存特征,定位结果排列

组合.

4>.保存定位结果

三.特征码定位器(CCL)使用总结:

用CCL定位特征码时，手动替换和自动替换应该互补使用。通常用手动确定大

范围，用自动精确定位小范围.

好了,今天的教程就到这里结束了.

作业:

以这里脱过壳的阿拉大盗主程序为例,进行以下的操作

1.练习手动定位的相关设置与操作:要求生成文件个数为1500个,对整个文件进行

特征码定位,并用杀毒软件查杀后保存定位结果.

2.练习自动定位中的文件特征码定位相关设置与操作:要求生成文件间隔秒数为8

秒,最小替换字节数为16,并在用户输入区内输入上面通过手动定位所定位的区段.

3.练习自动定位中的内存特征码定位的相关设置与操作:要求生成文件间隔秒数为

5秒,最少替换字节数为8,并在用户输入区内输入代码段的区段进行检测.

4.练习特征码检测中的定位结果排列组合功能:要求按手动定位出的几处特征码

进行排列组合并保存组合后的结果.