MyCCL定位的原则
1).对于体积比较大的木马1000K--500K之间,分块个数可少些,第一次一般10块,定位出大致位置后,然后分块个数可设为50多100为最佳.分块个数少,反复操作的次数就越多.(2).体积小的木马100K以下.分块个数可大一些,100或200,生成速度快,反复操作次数小,定位特征码所花时间也越少.
[size=2]内存定位方法
[/size]第一步:设置好myccl的相关参数(设置方法基本与文件特征码定位相同,定位内存特征码时,要把"带后缀"前面复选框打上勾.其它设置都相同)
第二步:点击生成,然后在目录路径上,单击右键---用TK.loader打开目录----全部载入内存----然后打开瑞星的内存查杀功能进行查杀.
第三步:瑞星查杀后,记下被杀的文件名,用手工方法,找到被杀的文件,然后删除掉.
第四步:接着,按上面的方法再次生成,回到第二步操作.
第五步:定位好内存特征码后,测试是否定位正确.
测试方法:用C32Asm打开已免杀瑞星文件的木马,把定位好的内存特征码全部填0,然后用OD载入,再用瑞星的查杀功能进行查杀,查不到,说明定位正确. 又是文字看不董啊 主要是怎样改特征码,除了用填充的办法。 关看又不好,发言怕灌水!只能这样了! 谢谢了啊
正需要这个啊 楼主:你好
你上面说的
“第二步:点击生成,然后在目录路径上,单击右键---用TK.loader打开目录----全部载入内存----然后打开瑞星的内存查杀功能进行查杀. ”
我能顺利完成
到了你说的
“第三步:瑞星查杀后,记下被杀的文件名,用手工方法,找到被杀的文件,然后删除掉.”
关键是瑞星把TK.loader这个工具自动删除了!所以就不能定位了!
这个问题从5月中旬就有了,至今我都没有找到好的办法!!
郁闷中...有谁知道原因?或者有解决方法?(TK.loader用瑞星查了 ,是免杀的!) 有图就更好了 怎么入门啊 5555555:Q :Q 仔细看了下 有见解!好支持!! 一直没有看见啊 好东西顶了啊;) :victory:
页:
[1]