CCL打造杀毒软件免杀的超级黑器

核心提示： 打造免杀黑器之一：WinShell特征码的自动定位CCL的原理是将原文件中部分字节替换为0，然后生成新文件，CCL打造杀毒软件免杀的超级黑器(2)，再根据杀毒软件来检测这些文件的结果判断特征码的位置，使用CCL之前应该先设置一下参数，然后关闭杀毒软件即时监测功能（后文均简称为监测），打开待

打造免杀黑器之一：WinShell特征码的自动定位

CCL的原理是将原文件中部分字节替换为0，然后生成新文件，再根据杀毒软件来检测这些文件的结果判断特征码的位置。使用CCL之前应该先设置一下参数，包括操作方式是自动还是手动，生成文件的路径。

自动操作时，有一个参数很重要，就是每生成一个文件等待的秒数。因为我们要保证杀毒软件在这个几秒钟内对替换过的文件进行了检测，并能删除该文件（如果含特征码的话），然后CCL根据刚才的生成文件是否被删除来决定下面的操作。如果间隔时间过短，杀毒软件没有来得及检测，CCL就进入了下一轮操作。嘿嘿，轻者判断结果出错，重者系统很可能会崩溃的！建议先把时间设大一些，比如7到10秒。

小提示：这种检测对已加壳的文件是无效的，因为带壳文件被替换的字节不是原程序的真身，而是加壳后的数据，所以第一步已经记得是首先要脱壳。

铛铛铛！第一个目标是WinShell，谁能简单介绍一下WinShell的功能？伴随一声刺耳的驴叫，名叫卡巴斯基的男生站了出来：WinShell是一个非常小巧的Telnet后门程序，我父亲将它命名为Backdoor.Win32.WinShell.50，用VC编成，如图1所示。

图1

下面让我们利用自动替换功能来定位特征码。首先运行CCL，将参数设为自动，等待时间7秒，最小定位精度设为16个字节。然后关闭杀毒软件即时监测功能（后文均简称为监测），打开待检测文件。成功读入后会弹出PE文件段选择窗口（如图2所示）。