​ Myccl免杀360

1337163122

​ Myccl免杀360[url=]web安全工具库[/url] 昨天
以下文章来源于网络安全学习 ，作者网络安全学习

​

网络安全学习
知白守黑，专注于分享资源，网安教学。保持热情，欢迎咨询。
myccl免杀360简单教程
这个工具很早就有了，通过修改特征码达到免杀

0x01 特征码
文件中的某一串二进制代码，杀毒软件识别到了就会认为这个文件为木马
myccl将00覆盖到文件中，如果此时文件不报毒了说明说明覆盖的地方存在特征码
​

1. 如M为特征码存在在某一段中
   
2. aaaaa
   
3. aMaaa
   
4. aaaaa
   
5. 
   
6. myccl将代码覆盖生成三个文件
   
7. 
   
8. aaaaa aaaaa aaaaa
   
9. ----- aMaaa aMaaa
   
10. ----- ----- aaaaa
    
11. 不报毒  报毒 报毒
    
12. 
    
13. 说明特征码在后面两个文件中，继续缩小范围得到特征码，详细的可以用二进制查看的工具就可以知道myccl的工作原理

复制代码

​然后就是继续这个过程得到特征码的准确位置，当然特征码可能有很多个，还有复合型特征码啥的，还是要具体看情况去找。

0x02 免杀实践
杀软用火绒，被杀的文件为nc
用到的工具有myccl和C32asm
360每个文件都会丢到云上扫描，myccl出来的文件一般都是很多的，可以扫一年）

​

起始位置可以自己定，也可以不用管就用默认的，数量选选100就好了，长度会自动算好的，点一下生成，会在被选中的文件同目录下生成OUTPUT文件夹

​

第一段0000是文件的序号，第二段是文件开始的位置，第三段是单位长度
第二个文件是0001，这里应该是文件名排序的问题，E0+17F就是第二个文件的开始

​

接下来对文件夹杀毒，然后把扫出有毒的文件删除，点击二次处理，提示找到特征码是否继续，点击yes
再次扫描文件夹发现没有报毒文件，点击二次处理，会给出一个特征码分布示意图，这个不用管
继续扫描文件夹，发现没有报毒
点击特征区间

​

右键复合定位此处特征码

​

可以看到缩小了特征码的范围，这里的数量也是可以改的，继续改成100重复之前的操作
生成->扫描文件夹->删除报毒文件->二次处理->发现没有报毒->复合定位特征码

​

现在范围已经确定在两个字节内了可以不用在继续缩小范围
用C32asm打开文件
将nc拖入然后以十六进制打开文件，找到00006678的位置，后面的两个字节就是特征码

​

可以看到是一个中括号和一个换行符，这个就是nc打印出来的那些内容，修改一下应该不会使程序不能用，把中括号修改一下，随便换个符号

​

修改好后另存为一下，看看这个修改后的文件能不能使用

​

是可以正常使用的，help界面的输出被修改了，最后再看一下能不能免杀

​

0x03 总结
这个方法还是有挺多局限的
也只能针对特定杀软，因为不同杀软直接特征码可能不一样
​