上次我们详细讲解了MYCCL特征码定位器的文件特征码定位,这次我们详细讲解内存特征码的定位。
内存特征码定位前,我们必须要对木马的文件特征码进行特征码查找并用0填充免杀,然后才可以进行内存特征码的查找定位,这是必须的。上次教程,我已经对此进行了说明。再有我们要用哪个杀毒软件进行内存定位,就必须要这个杀毒软件进行文件特征码的免杀。比如有的朋友用卡巴进行文件特征码的定位,再用瑞星进行内存特征码的定位,这是错误的。
在开始内存特征码定位前,我们要把内特辅助定位器TK.Loader和MYCCL复合特征码定位器放在同一个目录下,内特辅助定位器TK.Loader它的作用就是把我们生成的木马加载进内存里,以供杀毒软件进行内存的查杀。
内存特征码的定位和文件特征码的定位参数设置上基本相同,不同的是地方是:带后缀选框要选上,点生成后,我们右键点目录,显示用TK.Loader打开目录(T),我们要用TK.Loader把我们生成的文件全部加载进内存。昨天我自己测试的时候忘记把带后缀选上,结果加载的时候失败,呵呵。希望大家注意!
接下来我们用瑞星进行内存的查杀(注意只选择内存查杀),查杀后我们不要让瑞星自动删除,这里是和文件特征码定位不一样的,特别注意:我们要手动进行删除。其他步骤和文件特征码查找一样。二次处理后,我们依然是用TK.Loader把生成的文件全部载入内存用瑞星的内存进行查杀。内存查找特征码用的时间要比文件特征码多,所以我就不全部演示了,步骤是一样的。
特征码 物理地址/物理长度 如下:
[特征] 00010F4B_00001DB3
[特征] 00068328_00001DB3
[特征] 0009A509_00001DB3
[特征] 0009FE22_00001DB3
[特征] 000A573B_00001DB3
这是大的偏移量,我们重复以上步骤,使它更精确。以下的,和以前步骤一样,大家自己来做。我先暂停,在后面做,不浪费大家的时间。
由于是在单位做教程,使教程不能连续在此表示抱歉了!!
注意:这里我要说明一下,在二次处理后,如果杀毒软件查不出病毒(病毒为0)的时候,我们要把内特辅助定位器TK.Loader关掉,避免它重复加载,不然我们的定位会出现差错。如果杀毒软件能查出病毒的话,内特辅助定位器TK.Loader会自动关闭的。
特征码 物理地址/物理长度 如下:
[特征] 00012B41_00000002
[特征] 00068BEE_00000002
[特征] 0009ADF7_00000002
[特征] 000A158C_00000002
[特征] 000A15BE_00000002
[特征] 000A15E0_00000003
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002
最后把定位出来内存特征码结果用WinHex进行修改,也可以用UltraEdit或者C32Asm都可以。我们用以前文件特征码免杀的鸽子载入UltraEdit,找到特征码所在的位置,注意偏移量有的是2,有的是3个字节,我们用0填充,保存后,我们用OD载入,瑞星杀软的内存进行查杀。
第一个是文件特征码免杀的,内存没有免杀。这个是内存免杀的。
这里我要说明一下,并不是我们的定位错误,其中有处定位的特征码比较特殊:
[特征] 000A6EFB_00000002
[特征] 000A6F2B_00000002
我们测试一下:
看到了,修改正确。教程到此,下次讲内存特征码修改免杀。
我是傲气好男人 QQ:3012826 欢迎大家交流!
同时希望黑吧给个论坛申请码。我做的教程都是在黑吧首发的,并没有在其他地方发过。