特征码又叫计算机病毒特征码,主要由反病毒公司制作,通常被反病毒软件公司确定为只有病毒才具有的一串二进制字符,这串字符串通常是文件中对应程序代码或汇编指令的地址。反病毒软件会用某种方法将这串二进制字符与目标文件或处理程序进行比较,以判断该文件或进程是否感染了病毒。
原则
杀毒软件是通过提取文件的特征码与病毒库进行匹配来查杀病毒的,因此只要能修改病毒的特征码,使之与病毒库中存储的特征码不匹配,就能阻止病毒被查杀。
测试工具:
c32asm
MyCCL复合特征码定位系统
CcRemote远控
最新版360
过程
打开远程控制工具,生成木马
其默认监听端口为8088
360查杀木马、举报病毒
定位特征码
打开MyCCL并选择要打开的木马
过程
流程:
1.修改分块数量并且生成
2.用杀软查杀目录并且删除报毒的分块
3.点击二次处理,并继续用杀软查杀目录
4.定位特征
1、首先把块数改为20(也可以根据自己的情况分成其他数),点击Generate之后会在OUTPUT目录下生成20个文件块。
2.使用360检查OUTPUT目录。这里有四个
3、点击一键处理,删除已检测出的具有恶意特征的文件,再次点击二次处理,生成20个新的文件。
4、重复以上步骤,直到360停止报告病毒。
输入Mcyyl,点击特征区间,右键选择Composite Position Here Feature
重复上述步骤,直到单位长度缩减到2~4之间,下划线后面的部分代表单位长度,这里有两个特征代码:
00384B03
003849B9
修改签名
使用c32asm打开木马文件,选择十六进制作为打开方式。
然后右键选择跳转,填入特征代码的地址
点击此处
修改值为65
右键点击选择修改值+1
跳转到第二个签名地址
全部为0,切换到装配模式,右键选择对应装配模式进行编辑
修改ADD汇编指令,选择一个等效的指令来替换它。
右键单击程序集并选择使用 ADC 而不是 ADD。
点击组装后,退出并保存。使用360查杀exe文件,没有报病毒。
无需杀掉即可成功启动测试