投稿
  1. 首页>财经 > 财经

ddddddddd(我定位特征码后应该如何修改)

作者:何龙华
2023年03月04日 00:09
财经

1.CCL定位原理 假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):001h:XXXXXXXXXXXXXXXXXXXX002h:XXXXXXXXXXXXXXaXXXXX003h:XXXXXXXXXXXXXXXXXXXX004h:XXXXXXXXXXXXXXXXXXXX005h:XXXXXXXXXXXXXXXXXXXX当用CCL进行手动定位的时候,它生成了5个文件==========File1===========001h:00000000000000000000002h:XXXXXXXXXXXXXXaXXXXX003h:XXXXXXXXXXXXXXXXXXXX004h:XXXXXXXXXXXXXXXXXXXX005h:XXXXXXXXXXXXXXXXXXXX==========File2===========001h:XXXXXXXXXXXXXXXXXXXX002h:00000000000000000000003h:XXXXXXXXXXXXXXXXXXXX004h:XXXXXXXXXXXXXXXXXXXX005h:XXXXXXXXXXXXXXXXXXXX==========File3===========001h:XXXXXXXXXXXXXXXXXXXX002h:XXXXXXXXXXXXXXaXXXXX003h:00000000000000000000004h:XXXXXXXXXXXXXXXXXXXX005h:XXXXXXXXXXXXXXXXXXXX==========File4===========001h:XXXXXXXXXXXXXXXXXXXX002h:XXXXXXXXXXXXXXaXXXXX003h:XXXXXXXXXXXXXXXXXXXX004h:00000000000000000000005h:XXXXXXXXXXXXXXXXXXXX==========File5===========001h:XXXXXXXXXXXXXXXXXXXX002h:XXXXXXXXXXXXXXaXXXXX003h:XXXXXXXXXXXXXXXXXXXX004h:XXXXXXXXXXXXXXXXXXXX005h:00000000000000000000=========================当你用杀软来扫这5个文件时只有File2没有报毒,很明显因为File2的特征码a被填0了,这样也就暴露了特征码a的位置了。CCL定位原理就是这样,然后反复的循环定位,缩小范围。最后就可以定位出我们想要的特征码了。当然这是针对单一特征码。----------------------------------------------------------------------------------------------2.MyCCL定位原理假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):001h:XXXXXaXXXbXXXXXXXXXX002h:XXXXXXXXcXXXXXxXXXXX003h:XXXXXXXXXaXXXXXXXXXX004h:XXXXXXXXXbXXXXXXXXXX005h:XXXXXXXXXXXXcXXXXXXX当文件同时包含a.b.c三种特征码的时候,杀软就报毒啦。这就是所谓的复合特征码。当然杀软在定义复合特征码的时候可能有好几种组合,好几套特征码。当是复合特征码的时候,在用CCL来定位结果是很困难的。而MyCCL在CCL的基础上又进步了。这里我们手动用MyCCL来生成5个文件。========File1=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:00000000000000000000004h:00000000000000000000005h:00000000000000000000========File2=============001h:XXXXXaXXXbXXXXXXXXXX002h:XXXXXXXXcXXXXXxXXXXX003h:00000000000000000000004h:00000000000000000000005h:00000000000000000000========File3=============001h:XXXXXaXXXbXXXXXXXXXX002h:XXXXXXXXcXXXXXxXXXXX003h:XXXXXXXXXaXXXXXXXXXX004h:00000000000000000000005h:00000000000000000000========File4=============001h:XXXXXaXXXbXXXXXXXXXX002h:XXXXXXXXcXXXXXxXXXXX003h:XXXXXXXXXaXXXXXXXXXX004h:XXXXXXXXXbXXXXXXXXXX005h:00000000000000000000========File5=============001h:XXXXXaXXXbXXXXXXXXXX002h:XXXXXXXXcXXXXXxXXXXX003h:XXXXXXXXXaXXXXXXXXXX004h:XXXXXXXXXbXXXXXXXXXX005h:XXXXXXXXXXXXcXXXXXXX=========================很明显,很明显从File2开始就有abc特征码的组合了,这样File2到File5就被杀了。被杀以后再用MyCCL,进行二次定位,这样我们就知道了特征码c的位置了。然后再把002h那行置0,再生成一次。第二次生成5个文件:========File1=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:00000000000000000000004h:00000000000000000000005h:00000000000000000000========File2=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:00000000000000000000004h:00000000000000000000005h:00000000000000000000========File3=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:XXXXXXXXXaXXXXXXXXXX004h:00000000000000000000005h:00000000000000000000========File4=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:XXXXXXXXXaXXXXXXXXXX004h:XXXXXXXXXbXXXXXXXXXX005h:00000000000000000000========File5=============001h:XXXXXaXXXbXXXXXXXXXX002h:00000000000000000000003h:XXXXXXXXXaXXXXXXXXXX004h:XXXXXXXXXbXXXXXXXXXX005h:XXXXXXXXXXXXcXXXXXXX=========================很明显因为002h被我们置0了,这里只有File5有abc特征码了,所以File5被杀,这样另一处c也暴露出来了,这样我们就把所有c特征码都定位出来了。解决了CCL定位复合特征码的困难。然而我们回过头来想想,如果你想修改a或b特征码呢?又如何定位出a或b的特征码呢?这就是MyCCL的一个缺陷。不是定位不出来,而是很费劲。没有特征码保护机制。----------------------------------------------------------------------------------------------3.multiccl定位原理1.假设一种比较极端的情况: 某杀毒软件针对某样本 抽取了如下 a b c d e 的五个特征码片段 而其中的任何一个单独的片段都不构成完整的特征码 更极端的情况是可能有两套这样的组合。 却以其中任何两处来识别。(见 图1)这样,如果用原来的CCL就很难定位了,就算能定位,操作也 变得很复杂。(图1)..............................aaaaaaaaa....................................................................................................bbbbbbb.........ccc.................................................................................................................ddddddddd...............eeeee...............2.针对这种情况 有个思路是从一端开始盖零(考虑到PE文件文件头的重要性 multiCCL选择了从尾端开始往前盖)。 直到如图2所示时,杀毒软件才不能识别 (b片段被破坏了一个字节) 这样b尾端就出来了。(图2)..............................aaaaaaaaa......................................................................................................bbbbbb00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000------------------------------------------------------------------下面是定b片段的头端了 看看图3 图4 图5 ,注意看b片段中间那个字节的零的移动 (后来发现有时用一个字节的零不行,可改用N个零)(图3)..............................aaaaaaaaa......................................................................................................bbbb0bbb000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000----------------------------------(图4)..............................aaaaaaaaa......................................................................................................0bbbbbb0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000----------------------------------------------------------------------(图5)..............................aaaaaaaaa.....................................................................................................0bbbbbbb0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000--------------上图的a 和 b 两个片段都暴露了-------------------------- 图5 中,暴露出完整的a b 两个片段,这下又被杀毒软件认出来了这样就定位出b段了。接下来把b希用0盖掉作为新的样本,用杀毒软件检测一下是否被杀,还杀就重复前面的步骤定 c 段,如图6(图6)..............................aaaaaaaaa....................................................................................................0000000.........ccc.................................................................................................................ddddddddd...............eeeee...............-----------------------------------------------------------------------如果定好c段盖掉后还是被杀就再定 d 段 如图7(图7)..............................aaaaaaaaa....................................................................................................0000000.........000.................................................................................................................ddddddddd...............eeeee...............-----------------------------------------------------------------------这样重复,直到片段d e ……都被找出盖掉后,杀毒软件再也不认了(后来又发现有些杀毒软件针对零覆盖有干扰,改用随机串)----------------------------------- 一个字节一个字节来显然太费时间,效率很低的,一次性生成上千个文件也是不现实的。 所以考虑先用二分法粗定。到范围小时再逐字节替换。-----------------------------------从尾端开始数,以1.2.4.6.8……的大小往前盖 即取2的指数阶 , 2^n

(0)
打赏 微信扫一扫 微信扫一扫
头像 企业海 管理团队
0
重生小说排行榜完本(盛安宁周时勋小说大结局)
« 上一篇
索芙特化妆品怎么样(索芙特怎么样)
下一篇 »
推荐阅读
昨日收官,快手双11期间GMV较大促前增
11月12日消息,在经历了近半个月的消费拉锯战后,各大平台也在双十一晚上结束了今年的大促活动,对于快手来说,也是正式收官了今年的购物狂欢节。快手电商发布战报,10月31日-11月11日,快手商城GMV较大促前增长12倍,泛货架场景GMV同比增长340%,搜索GMV同比增长559%,短视频涨粉数同比增长189%。其中,10月31日-11月11日
京东五星电器11.11百款爆品家电五折起
近期,双十一活动在全面的进行中,各大电商平台也在不断地发挥优惠、补贴,冲刺年底销量。今年11.11期间,京东五星电器联合品牌深度细分消费需求,共倡11.11真便宜,让消费者以最简便的流程直接享低价,推出全品类家电爆款低至5折、到店至高补贴35%、家电套购最高立减8000元等优惠,江苏的消费者购买一二级能效的绿色家电还
全面布局,京东物流“亚洲一号”落地兰
11月6日,京东物流亚洲一号兰州智能产业园(以下简称兰州亚一)正式开仓运营。这也意味着甘肃省内规模最大、自动化程度最高的智能物流园区落地了。据介绍,兰州亚一整体园区面积超20万平方米,涵盖3C数码、日用百货、个护美妆、家电家居等全品类商品。据悉,此次新落成的兰州亚一作为当地公共配送中心及商品物流集散基地,
盒马旗下“全球购”业务全面提速升级,
11月6日下午,盒马在第六届进博会上宣布,旗下全球购业务全面升级,将在更多盒马门店开设线下体验店,为消费者提供进口商品线下体验、线上次日达的服务,让消费者购买国外商品更便利。据悉,在盒马全球购门店,消费者可以体验到来自全球20多个国家的超1500款商品,然后通过跨境电商保税网购模式,线上下单次日便能送到家。
唯品会“线上奥莱”展馆亮相进博会!
11月5日,第六届中国国际进口博览会(以下简称进博会)在上海正式开幕。作为全球领先的特卖电商,今年唯品会在进博会打造线上奥莱沉浸式体验馆,并首次发布全球买手宣言。据介绍,唯品会线上奥莱沉浸式体验馆位于进博会消费品展区,总面积300平方米。该展馆围绕精致时尚、潮流趋势、美好生活、绿色环保等主题,搭建深度场景
斗鱼方面证实CEO陈少杰失联快三周了!
日前,有多方信源透露,斗鱼董事会主席兼CEO陈少杰已于近日失联。11月6日,记者就相关内容向斗鱼方面求证,证实了陈少杰失联的消息。公开资料显示,1984年,陈少杰在出生于济南。2010年,他买下了国内二次元网站鼻祖A站,并成立了A站的生放送频道。四年后,他将生放送频道从A站独立,并更名斗鱼TV。随后几年,如虎牙、熊猫T