杀毒与免杀技术详解之三：特征码免杀实战

1、前言

在前篇《杀毒与免杀技术详解之二:特征码定位-工具及原理》中，笔者主要介绍了MyCCL这个特征码定位工具的使用方式，并对它的原理进行了一步步的分析解释，最后讲了学习这一工具的意义和作用。今天，在这实战篇中，我们将应用前面学到的知识，以几个市面上的特征码杀毒引擎为例，进行实战的免杀。同时也非常欢迎诸位朋友指点，互相学习、进步！

2、实战环境

实验主机: Vmware 11虚拟机

操作系统: XP sp3

实验用具: MyCCL 2.1、C32Asm、一份病毒样本(encode.exe)、百度杀毒、360杀毒抢鲜版

(tips: 实在是不建议在物理机进行实验，运行恶意程序风险很大)

笔者已经准备好了病毒样本进行实验，在文章最后会连同视频一起分享出来。当然，大家也可以拿自己的程序进行实战，操作的方法是大同小异的！

准备好工具之后，我们先将虚拟机中的网断开。笔者这里是NAT上网，直接禁用本地连接即可。

这一步是为了禁用360的云查杀功能，我们要免杀的引擎是本地的，不能混在一起免杀。

第二步，我们打开360杀毒主界面:

在这里将实时防护关闭，以免一会自动把我们实验的样本杀了，然后点击设置:

在这里将最后两条的√去掉，防止在免杀过程中，自动上传分析文件，导致引擎发生改变。

最后一步设置，将引擎设置为只开启系统修复引擎即可:

3、开始实战

用杀软查杀一下病毒样本看看:

确定没问题。现在万事俱备了，让我们开始免杀实战吧！先打开MyCCL，按上篇讲过的方法，”文件”选好病毒样本、”目录”选好分块文件存放目录、设置分块数量(我这为20)，设置好如下图:

点击<生成>，弹出双选框选’Yes’，生成完毕。然后打开分块文件目录:

确定分块文件生成OK了，然后用配置好的360杀毒，对所有分块文件进行查杀:

将报毒的文件手动删除，然后点暂不处理，别点立即处理。因为只有删除掉，MyCCL才能定位特征码。

接下来就可以点击”二次处理”按钮了，二次处理过后，再查杀一下:

无毒的话就不用继续查杀，如果有毒，就有重复”查杀删除->二次处理->查杀删除……”的循环。现在点击特征区间看看:

这里的格式是: 前一段是十六进制的文件偏移，后一段是十进制的特征码长度。我们第一次定位的特征码有4041字节！这么大的范围，肯定是不能直接进行修改免杀，所以我们要进行”复合定位”！

在特征区间这一行，右键->复合定位此处特征。然后就和一开始的情况差不多了，只是范围缩小了:

我们再重复刚才的步骤: “生成->查杀删除->二次处理->查杀删除->二次处理……”，就能得到更小范围的特征码。一般四次以内的重复操作，就能得到2字节范围的特征码，我们就能进行特征码的修改。

一番重复定位之后，我们最终得到了特征码的区间，通过再次点击”二次处理”，可以生成一个定位图:

特征码 物理地址/物理长度 如下:
[特征] 0004A982_00000002

特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------M-----------------]

这时候，我们就可以查看一下特征码具体长什么样。笔者使用的是C32Asm这一款工具，在百度一查就有安全的下载地址。通过这款工具，我们可以很轻松地查看、修改文件内容，它有”静态反汇编”的功能，所以修改起特征码很方便。

笔者以后会写一篇文章，专门讨论特征码的修改，所以不会修改也不必担忧，现在学习的重点是定位！

我们打开C32Asm，将病毒样本(不是分块文件)拖入其中: