神马文学网如何定位pchide.sys的卡巴特征码(详细说明)
来源:百度文库 编辑:神马文学网 时间:2024/04/28 20:32:05
卡巴一直把pchide.sys的盯得很紧,定位了多处特征码不说还使用了很多新技术,我也不好乱定义有人说是辅助特征码还有什么反ccl定位技术的。我跟大家说一下我是怎么定位卡巴sys特征码的
先用ccl定位一下试试看看有没有奇迹*_* 。 我是这样设置的:自动--间隔7秒--最小替换2个字节(两个字节会耗很长时间你可以加多字节,不过2个字节一旦定位就会很准不用再继续浪费时间)用1011为例子,开始定位,完后出现的定位结果那个对话框先别点确定,用卡巴再杀一遍文件,以免漏杀再点确定。此时定位出下面结果:(卡巴版本和病毒库日期不同你的结果可能跟我的存在差异)
检测结果如下
共有6处特征码
序号 起始偏移 结束偏移 区间大小
01 00001716 00001719 00000003
02 0000171D 00001726 00000009
03 0000172A 00001736 0000000C
04 00001737 00001740 00000009
05 00001745 00001751 0000000C
06 00001752 00001755 00000003
只修改一处特征码无效,需同时修改两处或以上
只修改两处特征码无效,需同时修改三处或以上
不会吧,同时修改三处都无效,没折了!
最后是用ccl结果排列组合的检测结果。
怎么会这样呢?接下来我们拿出2进制智能比较工具UltraCompare(ue附带工具)一比较就一目了然了...
打开UltraCompare在查看选项下选择2进制模式(智能)在左面打开1011原sys文件,在右边打开刚才ccl定位生成的文件(注:如果你定位完全
结束你可以打开out里任何一个,如果没有结束就要打开按时间排列的最后一个。0906sys可能用ccl不能定位到最后就需要打开最后一个)比较
一下你会发现除了上面定位出的特征码外(根据你打开的不同只会是1-6其中的一处,最后一个就是最后一处)1a60-1db0处有大段存在差异。
这就是只改上面几处无法免杀的原因。
接下来的工作就是定位这一大段里的特征码,特征码不可能一大段的只会是几个字节。接下来再跟我操作,用ue打开原sys文件将第一处特征码如00001752-00001755按ctrl+G输入零x1752确定,会停在1752处,改为00 00 00 把文件另存为00000.sys接下来的的工作就从他入手。用ue打开00000.sys将1a60-1db0的一半1a60-1c00填为00另存为00001.sys卡巴杀毒,不杀。特征码在1a60-1c00段。用ue再次打开00000.sys将1a60-1c00的一半1a60-1b30处填00另存为00002.sys用卡巴查杀被杀特征码不在这一段。分析结果是特征码在1b30-1c00段,用ue再次打开00000.sys将1b30-1c00一半1b30-1ba0处填00另存为00003.sys卡巴查杀,不杀。特征码就在这一段。再用相同办法分割几次就会得到卡巴的特征码了。最后我得到的结果是1b66处一个字节。最后分析1b66处为必选特征码上面的1-6为任选其一,符合这两个条件卡巴及报为病毒。
这样就定位完了1011版的sys卡巴的特征码。0906版的sys已经被卡巴盯死,不过你有时间可以试一下。自动检测配合暂停手工查杀,字节定位10个字节.有不杀得就保存(这一条必须),基本上到OUT_000003D6_00000035就不能继续了。用UltraCompare比较OUT_000003D6_00000035跟原sys差别处记下,会有4大处不同,3d0-400,1dc0-22e0,3180-3540,3600-3800同样采取三处填00 剩下的一处对半填00,较量几个回合就可以搞定了。
以上纯属个人观点,如有错误请指正。
先用ccl定位一下试试看看有没有奇迹*_* 。 我是这样设置的:自动--间隔7秒--最小替换2个字节(两个字节会耗很长时间你可以加多字节,不过2个字节一旦定位就会很准不用再继续浪费时间)用1011为例子,开始定位,完后出现的定位结果那个对话框先别点确定,用卡巴再杀一遍文件,以免漏杀再点确定。此时定位出下面结果:(卡巴版本和病毒库日期不同你的结果可能跟我的存在差异)
检测结果如下
共有6处特征码
序号 起始偏移 结束偏移 区间大小
01 00001716 00001719 00000003
02 0000171D 00001726 00000009
03 0000172A 00001736 0000000C
04 00001737 00001740 00000009
05 00001745 00001751 0000000C
06 00001752 00001755 00000003
只修改一处特征码无效,需同时修改两处或以上
只修改两处特征码无效,需同时修改三处或以上
不会吧,同时修改三处都无效,没折了!
最后是用ccl结果排列组合的检测结果。
怎么会这样呢?接下来我们拿出2进制智能比较工具UltraCompare(ue附带工具)一比较就一目了然了...
打开UltraCompare在查看选项下选择2进制模式(智能)在左面打开1011原sys文件,在右边打开刚才ccl定位生成的文件(注:如果你定位完全
结束你可以打开out里任何一个,如果没有结束就要打开按时间排列的最后一个。0906sys可能用ccl不能定位到最后就需要打开最后一个)比较
一下你会发现除了上面定位出的特征码外(根据你打开的不同只会是1-6其中的一处,最后一个就是最后一处)1a60-1db0处有大段存在差异。
这就是只改上面几处无法免杀的原因。
接下来的工作就是定位这一大段里的特征码,特征码不可能一大段的只会是几个字节。接下来再跟我操作,用ue打开原sys文件将第一处特征码如00001752-00001755按ctrl+G输入零x1752确定,会停在1752处,改为00 00 00 把文件另存为00000.sys接下来的的工作就从他入手。用ue打开00000.sys将1a60-1db0的一半1a60-1c00填为00另存为00001.sys卡巴杀毒,不杀。特征码在1a60-1c00段。用ue再次打开00000.sys将1a60-1c00的一半1a60-1b30处填00另存为00002.sys用卡巴查杀被杀特征码不在这一段。分析结果是特征码在1b30-1c00段,用ue再次打开00000.sys将1b30-1c00一半1b30-1ba0处填00另存为00003.sys卡巴查杀,不杀。特征码就在这一段。再用相同办法分割几次就会得到卡巴的特征码了。最后我得到的结果是1b66处一个字节。最后分析1b66处为必选特征码上面的1-6为任选其一,符合这两个条件卡巴及报为病毒。
这样就定位完了1011版的sys卡巴的特征码。0906版的sys已经被卡巴盯死,不过你有时间可以试一下。自动检测配合暂停手工查杀,字节定位10个字节.有不杀得就保存(这一条必须),基本上到OUT_000003D6_00000035就不能继续了。用UltraCompare比较OUT_000003D6_00000035跟原sys差别处记下,会有4大处不同,3d0-400,1dc0-22e0,3180-3540,3600-3800同样采取三处填00 剩下的一处对半填00,较量几个回合就可以搞定了。
以上纯属个人观点,如有错误请指正。
如何定位pchide.sys的卡巴特征码(详细说明)
正确数浪的特征定位法
正确数浪的特征定位法
关于如何制作图片上文字滚动效果的详细补充说明!
Blogger Sitesled设置的详细说明
关于web.xml配置的详细说明
web.xml配置的详细说明
一份比较详细的DOS命令说明!
一份比较详细的DOS命令说明
FCKeditor 的各项属性设置详细说明
比较详细的DOS命令说明
比较详细的DOS命令说明
一份比较详细的DOS命令说明!
二十四节气圆运动的详细说明 (转)
二十四节气圆运动的详细说明 (转)。
二十四节气圆运动的详细说明 (转).
一份比较详细的DOS命令说明!
HOOK(钩子)函数的详细说明
一份比较详细的DOS命令说明!
二十四节气圆运动的详细说明 (转)。
二十四节气圆运动的详细说明 (转).
二十四节气圆运动的详细说明 .,(转)
二十四节气圆运动的详细说明 (转),
二十四节气圆运动的详细说明