如发现有乱码，请点击下面链接浏览原文
正文摘录:

i酗叠彩CCL小七对于黑客来说，木马免杀是个永恒的话题，而修改特征码免杀又是一种“从根本上解决问题”的方法。经常用来定位特征码的工具有两款ccL和MYCCL，本文我就将向大家详细介绍MYcCL(个人喜好)的使用方法(图1)。图1刚开工的时候还真不知道从哪里人手，参数该怎么填写昵?没关系，我们慢慢来认识这个貌似神秘，却非常实用的工具。我就以彩虹桥V1.2为例，这是一个能躲过卡巴查杀的术马。首先当然是配置木马服务端了，这个木马的服务端配置还是比较简单的(图2)，不过，木马的配置及使用并非本文的重点，就此省略。今天你免杀了吗?配置好的木马服务端马上就被仁巴查杀了，如图3，卡巴这种棒打出头马的原则在彩虹桥上又一次得到印证。本着搞死卡巴的精神，下边开始介绍免杀工具MyCCL的用法。打开MYccL，点击“文件”载人彩虹桥，在下方的输出框内显示的是文件的最初数据(图4)。“目录”选项是选择生成掩盖了某个数据段的木马文件。为了更好的理解，先来简单的介绍一下MyccL的免杀原理。MyCcL是利用某块的数据填充为相应数值来掩盖特征码段以达到免杀的效果的，用你指定的数据(默认是00，主要的目的是改变它的特征码，因为杀毒软件通常不会将特征码定位在0O上)填充程序的一部分，比如你把分块个数设置为4，那么就会生成4个“完整”的文件，但每个文件都会有不同的l／4内容使用00来进行填充。然后使用杀毒软件进行查杀，没有报毒的文件就证明特征码在这个文件OO填充的代码里。块分的越多定位的数据就越精确，大家可以根据习惯和电脑的性能填写，当然也并不是越多越好，我填的是lO0。需要注意的是，开始位置的数据是E0，这个借鉴了前辈ccL在免杀过程中出现的问题。ccL之所以会出现特征码虚报，足冈为有些木马的特征码并非在PE头，但是经由CcL定位出来却是在PE头上，很重要的原因就是杀病毒软件使用的一个小伎俩。当PE头一个所需的部分被改变以后(大部分是填充为00)，就不能运行(当然，PE头是可以改变的，需要改变的数据是有规律的，而不是这种随意的填充)。杀病毒软件只检查了PE头后就不再往下扫描了，自然也就不会报毒了。还有就是单一定位和复合定位膨该如何选择呢?其实从表面的意思就知道了，当木马具有多重特征码的时候就使用复合定位，不知道特征码到底有几个的时候建议使用复合定位。至于正向和反向相信大家应该了然于胸了吧。言归正传，点击生成后，就会在你选择的目录F生成相应数目的文件。然后我们就开始用忙巴扫描生成小马的文件夹，扫描完以后直接查杀。然后点击“二次处理”(图5)，生成新的文件，再用卡巴对文件夹进行查杀(图6)。我们重复这个过程，直至生成的文件卡巴不会报毒了，这时点击“特征区间”，就会看到定付的特征码了(图7，图8)。