本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
文章目录
- MyCCL定位特征码原理
- MyCCL定位nc实验
MyCCL定位特征码原理
myccl采用遇到特征码就将其覆盖的原理,逐段暴露原文件数据内容的方式将一个待分析文件分成多个文件。
然后用杀毒软件将报毒文件删除,在点击二次处理的时候,myccl会检测那些文件被删除了,从而判断特征码所在的分段区间。依次进行判断。
MyCCL定位nc实验
在MyCCL中打开nc文件,选择分块个数为100,
然后点击生成,会在目标文件夹下生成100个经过处理的文件,如下所示
第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度。
然后用火绒进行查杀,并删掉报毒的文件,再点击二次处理
这个二次处理就是查看那个文件被删了,从而定位出特征码所在的分段区间。
之后会提示是否继续定位其他特征码,因为特征码有可能不止一个地方。
可以继续处理,直到不报毒。
然后选择特征码进行复合定位,myccl会把这段区间进行重新划分。
然后继续扫描删除报毒文件,二次处理。。。。
最后定位到两个字节的特征码区间。
可以用01edit进行修改,也可以通过od查看相关内容进行编辑转换。
https://macchiato.ink/hst/bypassav/myccl/