MYCCL使用方法
最近群里看到一张截图,说是用myccl免杀360,没见过这个想着去了解一下
查了一下发现这个工具很早就有了,通过修改特征码达到免杀
0x01 特征码
个人理解就是文件中的某一串二进制代码,杀毒软件识别到了就会认为这个文件为木马
myccl将00覆盖到文件中,如果此时文件不报毒了说明说明覆盖的地方存在特征码
1 | 如M为特征码存在在某一段中 |
然后就是继续这个过程得到特征码的准确位置,当然特征码可能有很多个,还有复合型特征码啥的,还是要具体看情况去找。
网上这类教程不多,可能是因为太古老了,在B战找到一个讲的比较详细的
https://www.bilibili.com/video/BV1ia4y1v7nd?from=search&seid=7992726858703873504
0x02 免杀实践
杀软用火绒,被杀的文件为nc
需要用到的工具有myccl和C32asm
为啥不用360呢..360每个文件都会丢到云上扫描,myccl出来的文件一般都是很多的(和文件大小有关),真的可以扫一年,有耐心的师傅可以尝试一下
起始位置可以自己定,也可以不用管就用默认的,数量选选100就好了,长度会自动算好的,点一下生成,会在被选中的文件同目录下生成OUTPUT文件夹
第一段0000是文件的序号,第二段是文件开始的位置,第三段是单位长度
第二个文件是0001,这里应该是文件名排序的问题,E0+17F就是第二个文件的开始
接下来对文件夹杀毒,然后把扫出有毒的文件删除,点击二次处理,提示找到特征码是否继续,点击yes
再次扫描文件夹发现没有报毒文件,点击二次处理,会给出一个特征码分布示意图,这个不用管
继续扫描文件夹,发现没有报毒
点击特征区间
右键复合定位此处特征码
可以看到缩小了特征码的范围,这里的数量也是可以改的,继续改成100重复之前的操作
生成->扫描文件夹->删除报毒文件->二次处理->发现没有报毒->复合定位特征码
现在范围已经确定在两个字节内了可以不用在继续缩小范围
用C32asm打开文件
将nc拖入然后以十六进制打开文件,找到00006678的位置,后面的两个字节就是特征码
可以看到是一个中括号和一个换行符,这个一看就是nc打印出来的那些内容,修改一下应该不会使程序不能用,把中括号修改一下,随便换个符号
修改好后另存为一下,看看这个修改后的文件能不能使用
是可以正常使用的,help界面的输出被修改了,最后再看一下能不能免杀
是可以免杀的
0x03 总结
这个方法还是有挺多局限的,视频中是通过修改汇编语言的,nc是通过修改输出文本的,PE的格式也不是很了解,所以解释不清楚,要是碰到特征码在不可修改的地方就比较麻烦(当然也可能是因为水平不够)
这个方法只能针对特定杀软,因为不同杀软直接特征码可能不一样
至于为什么用nc,就是因为尝试cs的木马发现特征码在一个函数名里面,不知道怎么修改,也有可能不能修改,所以用nc来实验,不管怎么说也是多学一种方法了
