免殺(2)

Demo 手工免殺

利用工具偵測特徵碼

下面使用工具MyCCL

一打開的樣子，左邊有可愛的小熊維尼

選擇要做免殺的檔案

選好之後，下面會自動出現OUTPUT，

還有下面的文字區塊會有PE標頭的資訊

選擇分塊數量，根據前人經驗，大概設30~50

然後填充的部分改成FF

選完之後按<生成>，他會問你要不要清空目錄裡面的所有檔，點選Yes

然後他就會開始生成切割的碼，並放在OUTPUT資料夾

左下角的對話框就會跟你說生成完成！

之後他就會叫你進行殺毒，殺完毒點二次處理

在這裡我們用NODE32這個防毒軟體來找他的特徵碼

所以就先對OUTPUT資料夾來殺毒

殺毒結果

從上面可以知道，切成30段，有9段找到特徵碼和NODE32內建的病毒特徵碼符合

點選特徵區間，可以看到我們目前找到的特徵碼

然後去點二次處理

他會問你還要不要再對檔案進行分析，

因為特徵碼可能不只一段，

這時候可以按yes，然後再殺毒一次

按yes之後出現的視窗

重新掃毒後，如果沒有再發現特徵碼，

就可以對現在已有的再去做切割

對現在有的特徵碼按右鍵，選第一個＂複合定位此處特徵＂

然後修改分塊數量，改為質數比較好

在這邊我改成29

改好之後再重複上面的步驟

生成 => 殺毒 => 二次處理 => 殺毒 => 右鍵"複合定位此處特徵" =>...

(記得要改分塊數量)

直到特徵碼後面的數字變成2~4

把原本的檔案丟進MadEdit這個編輯器

去到改特徵碼位置，把它改成"FF"

另存新檔

然後再對它進行殺毒

如果防毒軟體掃不到就算是成功！