CCL打造杀毒软件免杀的超级黑器

核心提示： 打造免杀黑器之二：手动与自动结合定位黑社会2.0的特征码WinShell是VC编译的文件，那么对于别的语言编写的程序，CCL打造杀毒软件免杀的超级黑器(7)，比如汇编、VB等等，这种定位还有效吗？原则上来说，具体情况要具体分析），因此初步确定特征码在编号2的文件所表示的范围内，只要是编译成

打造免杀黑器之二：手动与自动结合定位黑社会2.0的特征码

WinShell是VC编译的文件，那么对于别的语言编写的程序，比如汇编、VB等等，这种定位还有效吗？原则上来说，只要是编译成机器码的程序都可以定位。VB是一种解释语言，它的可执行文件的代码不单纯是机器码（汇编指令），不知道CCL对它的定位效果如何。黑社会2.0是一个VB编写的集远程管理与攻击为一体的黑器，下面来测试一下它的特征码定位。

黑社会的执行文件是AsPack加的壳，可以用AspackDie1.41自动脱去。这一次我们改变一下操作方法，由全自动改为手动与自动结合，先利用手动替换来大体确定特征码的范围。

首先运行CCL，设置参数为手动，按规定个数输出文件，输出个数为100。参数设置完后打开已脱壳的文件，在弹出的PE段选择对话框中直接点击“确定”按钮，也就是对整个文件进行替换。关闭监测，然后在操作窗口中单击“GO”，很快100个文件就生成了。

小提示：手动生成大量文件时，一定要将杀毒软件的监测功能关闭，不然杀毒软件要同时处理这成百上千个带毒文件，系统会崩溃的！

我们用杀毒软件对这100个文件进行扫描，在杀毒软件删除了所有含特征码的文件后，只剩下两个文件。我们在工具栏中选择“定位”按钮并打开刚才的生成文件夹，确定后主窗口上便显示出了定位信息。如图6所示。

图6

编号为1的结果显示是从偏移0000开始替换的，在我的机器上这个结果不用考虑，因为卡巴斯基软件对于没有PE头的文件是不进行特征码检测的，文件1中恰好是PE头被替换了，自然就不会被删除（据说别的杀毒软件，比如Norton，不管有没有PE文件头都会进行特征码检测，具体情况要具体分析），因此初步确定特征码在编号2的文件所表示的范围内，既0x2DC2到0x44A3之间的0x16E1个字节的范围内。