安全矩阵

 找回密码
 立即注册
搜索
查看: 2681|回复: 0

​ Myccl免杀360

[复制链接]

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-8-9 22:35:31 | 显示全部楼层 |阅读模式
Myccl免杀360[url=]web安全工具库[/url] 昨天
以下文章来源于网络安全学习 ,作者网络安全学习

网络安全学习
知白守黑,专注于分享资源,网安教学。保持热情,欢迎咨询。
myccl免杀360简单教程
这个工具很早就有了,通过修改特征码达到免杀

0x01 特征码
文件中的某一串二进制代码,杀毒软件识别到了就会认为这个文件为木马
myccl将00覆盖到文件中,如果此时文件不报毒了说明说明覆盖的地方存在特征码
  1. 如M为特征码存在在某一段中
  2. aaaaa
  3. aMaaa
  4. aaaaa

  5. myccl将代码覆盖生成三个文件

  6. aaaaa aaaaa aaaaa
  7. ----- aMaaa aMaaa
  8. ----- ----- aaaaa
  9. 不报毒  报毒 报毒

  10. 说明特征码在后面两个文件中,继续缩小范围得到特征码,详细的可以用二进制查看的工具就可以知道myccl的工作原理
复制代码
​然后就是继续这个过程得到特征码的准确位置,当然特征码可能有很多个,还有复合型特征码啥的,还是要具体看情况去找。

0x02 免杀实践
杀软用火绒,被杀的文件为nc
用到的工具有myccl和C32asm
360每个文件都会丢到云上扫描,myccl出来的文件一般都是很多的,可以扫一年)

起始位置可以自己定,也可以不用管就用默认的,数量选选100就好了,长度会自动算好的,点一下生成,会在被选中的文件同目录下生成OUTPUT文件夹

第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度
第二个文件是0001,这里应该是文件名排序的问题,E0+17F就是第二个文件的开始

接下来对文件夹杀毒,然后把扫出有毒的文件删除,点击二次处理,提示找到特征码是否继续,点击yes
再次扫描文件夹发现没有报毒文件,点击二次处理,会给出一个特征码分布示意图,这个不用管
继续扫描文件夹,发现没有报毒
点击特征区间

右键复合定位此处特征码

可以看到缩小了特征码的范围,这里的数量也是可以改的,继续改成100重复之前的操作
生成->扫描文件夹->删除报毒文件->二次处理->发现没有报毒->复合定位特征码

现在范围已经确定在两个字节内了可以不用在继续缩小范围
用C32asm打开文件
将nc拖入然后以十六进制打开文件,找到00006678的位置,后面的两个字节就是特征码

可以看到是一个中括号和一个换行符,这个就是nc打印出来的那些内容,修改一下应该不会使程序不能用,把中括号修改一下,随便换个符号

修改好后另存为一下,看看这个修改后的文件能不能使用

是可以正常使用的,help界面的输出被修改了,最后再看一下能不能免杀


0x03 总结
这个方法还是有挺多局限的
也只能针对特定杀软,因为不同杀软直接特征码可能不一样

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 13:37 , Processed in 0.012927 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表