“黑客”深度学习之“免杀技术原理与实现”(3)

第三步：打开MyCCL，按上篇讲过的方法，"文件"选好病毒样本、"目录"选好分块文件存放目录、设置分块数量(我这为20)，设置好如下图:

第四步：点击<生成>，弹出双选框选'Yes'，生成完毕。然后打开分块文件目录:

确定分块文件生成OK了。

然后第五步：用配置好的360杀毒，对所有分块文件进行查杀：

第六步： 将报毒的文件手动删除，然后点暂不处理，别点立即处理。因为只有删除掉，MyCCL才能定位特征码。

接下来就可以点击"二次处理"按钮了，二次处理过后，再查杀一下：

无毒的话就不用继续查杀，如果有毒，就有重复"查杀删除->二次处理->查杀删除……"的循环。现在点击特征区间看看：

这里的格式是: 前一段是十六进制的文件偏移，后一段是十进制的特征码长度。我们第一次定位的特征码有4041字节!这么大的范围，肯定是不能直接进行修改免杀，所以我们要进行"复合定位"!

第七步：在特征区间这一行，右键->复合定位此处特征。然后就和一开始的情况差不多了，只是范围缩小了：

我们再重复刚才的步骤: "生成->查杀删除->二次处理->查杀删除->二次处理……"，就能得到更小范围的特征码。一般四次以内的重复操作，就能得到2字节范围的特征码，我们就能进行特征码的修改。

一番重复定位之后，我们最终得到了特征码的区间，通过再次点击"二次处理"，可以生成一个定位图：

特征码 物理地址/物理长度 如下：

[特征] 0004A982_00000002  
特征码分布示意图:  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------M-----------------] 

这时候，我们就可以查看一下特征码具体长什么样。我们使用的是C32Asm这一款工具，在百度一查就有安全的下载地址。通过这款工具，我们可以很轻松地查看、修改文件内容，，它有"静态反汇编"的功能，所以修改起特征码很方便。

第八步：我们打开C32Asm，将病毒样本(不是分块文件)拖入其中：

第九步： 我们点击"十六进制模式"，这个模式比较灵活，所以推荐使用。一打开，看见一堆十六进制码，别慌，让我们先跳到特征码的位置!右键点击->跳到:

第十步：将刚才定位出的特征码的位置，填写下去，点击"确定"：

看到这一段，熟悉病毒特征的朋友应该能看出来，这就是病毒本体的一部分，这几个函数就是病毒会用到的函数。

"E9 7A"被定位为特征码，其实熟悉的朋友应该已经知道怎么改了，因为"E9"就是典型的jmp跳转的机器码。

第十一步：我们右键->对应汇编模式编辑，看看它对应的汇编代码：

可以很清楚地看到，这句代码的意思就是要跳转到某地址上。在这里先讲一个方法——等价替代法，顾名思义就是用具有相同功能的代码替换它。jmp的话，按经验一般可以改成call，也就是将"E9"改为"E8"。

（编辑：ASP站长网）