本文為筆者從零基礎學習系統安全相關内容的筆記,如果您對系統安全、逆向分析等内容感興趣或者想要了解一些知識,歡迎關注。本系列文章将會随着筆者在未來三年的讀研過程中持續更新,由于筆者現階段還處于初學階段,不可避免參照複現各類書籍内容,如書籍作者認為侵權請告知,筆者将立刻删除。強調本系列所有内容僅作為學習研究使用,作者對此文章中的代碼造成的任何後果不負法律責任。
文章目錄
- MyCCL定位特征碼原理
- MyCCL定位nc實驗
MyCCL定位特征碼原理
myccl采用遇到特征碼就将其覆寫的原理,逐段暴露原檔案資料内容的方式将一個待分析檔案分成多個檔案。
然後用防毒軟體将報毒檔案删除,在點選二次處理的時候,myccl會檢測那些檔案被删除了,進而判斷特征碼所在的分段區間。依次進行判斷。
MyCCL定位nc實驗
在MyCCL中打開nc檔案,選擇分塊個數為100,
然後點選生成,會在目标檔案夾下生成100個經過處理的檔案,如下所示
第一段0000是檔案的序号,第二段是檔案開始的位置,第三段是機關長度。
然後用火絨進行清除,并删掉報毒的檔案,再點選二次處理
這個二次處理就是檢視那個檔案被删了,進而定位出特征碼所在的分段區間。
之後會提示是否繼續定位其他特征碼,因為特征碼有可能不止一個地方。
可以繼續處理,直到不報毒。
然後選擇特征碼進行複合定位,myccl會把這段區間進行重新劃分。
然後繼續掃描删除報毒檔案,二次處理。。。。
最後定位到兩個位元組的特征碼區間。
可以用01edit進行修改,也可以通過od檢視相關内容進行編輯轉換。
https://macchiato.ink/hst/bypassav/myccl/