《黑客免杀攻防》读书笔记03

一、特征码免杀技术

1.分割法找特征码

将一个文件分成数份，用反病毒软件查杀。如果发现其中某一份有病毒，则说明这部分含有特征码，再将这一份分割成数份，如此往复，直到定位出我们认为合适长度的特征码为止。
缺点：某些反病毒软件的扫描器采用的是密码校验和技术，在进行分割时可能会破坏原本在一起的代码，导致出现没有分割时可以扫描到病毒，而一旦分割就扫描不到了。

2.黑客的脚本木马花指令的免杀技术

二、特征码的定位原理

1.特征码逐块填充定位原理

CCL：国内首款演示研究性的特征码定位工具
将CCL用“00”填充，比如每次填充4个字节，当某次被填充后覆盖了特征码，那么特征码的位置就被找到了，当然每次填充多少字节需视情况而定。

2.特征码逐块暴露定位原理

MyCCL：目前应用最广泛的特征码定位器。采用逐块暴露原理的特征码定位软件。
复合特征码：一个病毒定义了一个以上的特征码，只有改掉所有的特征码后才不会被查杀。
与逐块填充过程相反。遵循“遇到特征码后则始终将其覆盖”原则。

3.特征码混合定位原理

MultiCCL：应用特征码混合定位原理。
应用二分法或逐块暴露法定位出含有特征码的较小区域，然后再采用逐位测试法探测出特征码的具体位置和长度。

三、MyCCL工具介绍

参数说明：

• 文件：将进行特征码定位的木马文件路径。
• 目录：存放MyCCL即将生成的特征码样本的目录。默认是与木马同文件夹下的OUTPUT目录。
• 分块个数：生成特征码样本的数量。思考为什么数量越多定位越精确？设置分块个数涉及的两个问题：时间、成功率。
• 单位长度：填充无效字节的单位长度。
• 填充：填充数据设定。
• 开始位置：第一个特征码样本将会从此处指定的位置开始填充。
• 分段长度：填充字符的总长度。
• 结束位置：最后一个特征码填充到此处指定位置结束。
• 正向：填充方向。
• 复合定位：超过一处特征码时需要此定位方法。