农业建设管理信息网站,传媒公司商业计划书,wordpress自动添加内链,百度广州分公司这段时间学习WEB方面的技术#xff0c;遇到了木马免杀特征码定位的问题#xff0c;这里做一下学习笔记。 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后#xff0c;文件列表是这样的。 注意这里是从E0作为切块的偏移量。也就是说从E0的位… 这段时间学习WEB方面的技术遇到了木马免杀特征码定位的问题这里做一下学习笔记。 这里对MyCCL的分块原理做一下探究 对指定文件生成10个切块 对指定的木马进行切块后文件列表是这样的。 注意这里是从E0作为切块的偏移量。也就是说从E0的位置开始逐个切块E0之前的内容是保留的。这样做的目的是保留一些PE必须的头文件信息。 我们来通过亲身的探究来解析一下MyCCL的切块区间定位法到底什么意思之后再从理论角度入手解释这个原理。 我们打开第一个文件 0000_000000E0_000110B6用winhex查看。 我们发现E0之前的内容是完整保存的。也就是我们指定的起始位置之前的内容不参与切块因为病毒特征码也不可能在这块区域内。 从文件名我们知道第一个文件的切块范围为000000E0_000110B6。那我们定位到000110B6看看那里的情况。 因为000000E0 000110B6 00011198第一个文件(第一个切块的范围是): 000000E0_00011198。然后后面的数据全部被填充为00。(文件名的第三段代表偏移量) 在继续打开顺序的第二个文件0001_00011196_000110B6。首先从文件名中可以知道这个文件的开始正好就是第一个文件的结束。然后我们用winhex打开。定位到00011196这个位置看看。 这次从00011196这个位置开始一直到0002224C的位置, 原始数据都一直被保留到0002224C之后的数据又被填充为00了。而0002224C的位置正好就是第三个文件的开始位置。 看到这里我们应该明白了MyCCL所做的事情就是在不断的恢复出原始数据的过程只不过这个这个动作是分成好几步(块)慢慢来进行的。 如果特征码不在之前的某几块的范围内的话那杀软在查杀的时候也不会杀除这些文件因此前几块那些不包含特征码的块文件就会在查杀的时候被保留下来。 我感觉要更清晰的理解原理的话最好是用手工一个文件一个文件顺序的方法进行查毒直到某一个块文件查处有病毒。则说明这个块文件多露出的那一块原始数据包含了病毒特征码。 那我们的第一个分块的目的就达到了我们找到了特征码的大致范围就在刚才多露出的这个块原始数据块中则这个被查处有病毒的块对应的起始地址和终止地址就我们第一切块的结果。 我们定位特征码的位置既不能说是看被查出有毒的也不能说是没被查出有毒的。准确说是第一个被查出有毒的。第一此被查出有毒的那个区段就是特征码的一个范围。 这里假设我们在查杀第二文件的时候查出有病毒那后面的文件也不用查了肯定也有病毒因为它们同样包含了第二个区段。一般我们用手工的查杀方法查出第二个文件有毒然后清除这个文件。 0001_00011196_000110B6这个文件被删除了 然后我们点击”二次处理”时MyCCL就能发现第二个文件不见了就能定位出一个特征区间。看清楚是MyCCL发现了第二个文件不见了。它就知道了这个特征码是在第二个区段内。 现在明白了为什么有的人杀到一个病毒就停止查杀了吧因为按顺序摆放找到某处特征码时后面的暂时没必要管。为什么说是暂时呢接下来继续解释。 因为现在的杀毒软件一般是复合定位也就是说多特征码定位而且发现任何一处特征码就能确定出病毒来所以MyCCL在确定出一处特征码(这里是第二个文件块)时会提醒用户要不要继续分析。此时当然选是了这个时候又会生成十个切片。 这次又生成的10(你自己设定的切块数量)个切片就有意思了。 可以看到依然是和第一次的10个块文件一样的分区范围但是内容给也是一样的吗 我们继续用winhex查看内容之后再慢慢解释原理。 我们打开第一个文件0000_000000E0_000110B6然后直接定位到00011198 第一个文件依然是一样的。我们继续打开第二个文件0001_00011196_000110B6 用winhex打开0001_00011196_000110B6。 好这次发现不同了在第一次的生成切块过程中我们知道MyCCL是逐步露出原始数据的那道理第二个文件中应该从00011196位置开始把原始数据露出来了呀难道是MyCCL程序出错了吗 当然不是的。 因为这是二次分块定位第二个文件块我们已经确认是有病毒的了不需要再用杀软来确认了所以MyCCL直接填充00而是从第三个文件开始逐步露出原始数据。不急我们先实验一下验证一下这个观点。 打开第三个文件0002_0002224C_000110B6定位到0002224C的位置。 可以看到确实和我们说的一样从第三个文件开始逐步露出原始数据。我们再定位到文件块3的结束位置00033302也是第四个文件的开始位置。 由此可以得知后面的处理过程和之前的第一次分块是一样的原理了。差别就在二次分块时默认将第一次中找到的那块直接填充00了就不再露出来了。 结果就是二次定位后也同样会生成10个块文件。 我们依然可以从头顺序开始逐个用杀软进行查杀(不过我感觉可以直接从刚才找到的第一个带特征码的文件块后面开始继续试探查杀)。直到再次发现那个首次发现病毒的文件块则我们要找的第二个病毒特征码就在那个文件块中。 以此类推还可以继续点击”二次处理”寻找第三个第四个特征码只要文件块还没遍历完。但是要注意的是每次点击”二次处理”生成文件才能用杀软继续顺序查一次即每次只能找到一个特征码位置然后要再次点击”二次处理”。 如果在二次分块的查杀验证中直到最后一个文件块都没有再出现病毒警报的话则说明这个病毒程序就只有一个病的特征码。即之前找到的那个整个过程需要杀软的配合。 至此我们就算完成了第一轮的切片范围搜索但是这个时候定位的范围太大了我们需要继续进行精确定位缩小范围。 点击特征区间会出现我们之前找到的特征码范围。 可以看出 00011196_000110B6就是文件名本身意思是这个范围就是整个分块本身非常大接下来我们要重复上面的过程继续一次定位及二次定位。 右键点击重新复合定位。 接下来的步骤就有点像是算法中的递归这次的范围缩小了我们以 0001_00011196_000110B6 这个范围作为原始文件的大小注意看开始位置和结束位置。 这次的搜索范围被集中到00011196_000110B6。或者也可以理解为0001_00011196_000110B6这个文件现在相当于原始文件了我们从这个范围中继续搜索特征码。 我们继续通过实践验证我们的观点。重新修改分块数目为10点击生成。 注意到这次生成的文件列表中。第一个文件就是0000_00011196_00001B45即直接从00011196这个位置开始了。 打开第一个文件0000_00011196_00001B45。 我们先观察一下E0的位置 可以看到还是之前说的原理起始地址之前的数据是被保留的。只是从我们指定的起始位置开始分块。 现在我们直接定位到00012CDB位置也就是第二个文件的开始位置。 可以看到这次分块的行为模式和之前的原理上是一样的。 现在为了加深映像让我们再打开倒数第二个文件0008_0001EBBE_00001B45。 并定位到00020703的位置也即最后一个文件结束的位置。 再打开最后一个文件0009_00020703_00001B4A定位到2224C也即一开始指定的结束位置。 可以看到在结束位置2224C之后的内容也依然存在。也就说MyCCL对于我们指定的范围外的数据不做任何处理只会对我们指定的范围内的数据进行切块。 我研究到这里的时候就有一个疑问了那这样要是木马病毒有复合特征怎么办呢即在第一次的切块搜索中搜索出了2处以上的特征码位置我们选择其中一处缩小范围进行进一步的搜索然后MyCCL只在我们指定的范围内进行切块那这个范围外的那一处特征码就将一直存在了那我们第二轮切块中每一个文件不就都会查出有病毒了吗 带着这个疑问我们重新做一次实验在第一轮切块搜索的的时候模拟出有两处特征码即手工删掉2个文件(和杀软杀掉本质上是一样的) 重新打开MyCCL生成10个切块并删掉第二个文件0001_00011196_000110B6 点击”二次处理”重新生成10个文件在提示是否要继续搜索特征码的对话框中点确认这次删除第九个文件0008_00088690_000110B6 删除后再次点击二次处理让MyCCL发现又有一个文件不在了即又找到了一个特征码位置。 结束后右边显示共找到了两处特征码位置。 选择第一处位置00011196_000110B6右键继续复合特征码查找。 注意这个时候的起始位置和结束位置就是第二文件的范围点击生成。 我们来打开第一个文件0000_00011196_00001B45。其他的位置我们都了解了现在关键是第九个文件的位置0008_00088690_000110B6是我们要重点关注的。 先定位到00088690的位置。 可以看到和我们的理论猜想一样这块内容被填充了00和”二次处理时”要把之前找到的特征码位置填充00的思想是一样的为了不影响本次的范围内切块搜索。要反范围外的特征码位置填充00其他位置就保持不变。 搞清楚了以上几点后我们就可以以此类推不断递归的缩小范围直到能把特征码的范围缩小到20字节一下基本就差不多了。 国内外的杀软一般是根据一些字符组合来判断是否是病毒在20字节一下基本能帮组我们对特征码进行定位判断。 顺便介绍个在线测试病毒的网站http://www.virscan.org/。国内外流行的杀毒引擎都在里面了。杀软的话推荐用COMODO很好用性能也很好我一直在用这款。 只要还有梦心就能飞翔 http://www.cnblogs.com/LittleHann/p/3225441.html
