一、怎么用myccl定位特征码?
1.CCL定位原理
假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):
001h:XXXXXXXXXXXXXXXXXXXX
002h:XXXXXXXXXXXXXXaXXXXX
003h:XXXXXXXXXXXXXXXXXXXX
004h:XXXXXXXXXXXXXXXXXXXX
005h:XXXXXXXXXXXXXXXXXXXX
当用CCL进行手动定位的时候,它生成了5个文件
==========File1===========
001h:00000000000000000000
002h:XXXXXXXXXXXXXXaXXXXX
003h:XXXXXXXXXXXXXXXXXXXX
004h:XXXXXXXXXXXXXXXXXXXX
005h:XXXXXXXXXXXXXXXXXXXX
==========File2===========
001h:XXXXXXXXXXXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXXXXXXXXXXXX
004h:XXXXXXXXXXXXXXXXXXXX
005h:XXXXXXXXXXXXXXXXXXXX
==========File3===========
001h:XXXXXXXXXXXXXXXXXXXX
002h:XXXXXXXXXXXXXXaXXXXX
003h:00000000000000000000
004h:XXXXXXXXXXXXXXXXXXXX
005h:XXXXXXXXXXXXXXXXXXXX
==========File4===========
001h:XXXXXXXXXXXXXXXXXXXX
002h:XXXXXXXXXXXXXXaXXXXX
003h:XXXXXXXXXXXXXXXXXXXX
004h:00000000000000000000
005h:XXXXXXXXXXXXXXXXXXXX
==========File5===========
001h:XXXXXXXXXXXXXXXXXXXX
002h:XXXXXXXXXXXXXXaXXXXX
003h:XXXXXXXXXXXXXXXXXXXX
004h:XXXXXXXXXXXXXXXXXXXX
005h:00000000000000000000
=========================
当你用杀软来扫这5个文件时只有File2没有报毒,很明显因为File2的特征码a被填0了,这样也就暴露
了特征码a的位置了。CCL定位原理就是这样,然后反复的循环定位,缩小范围。最后就可以定位出我
们想要的特征码了。当然这是针对单一特征码。
----------------------------------------------------------------------------------------------
2.MyCCL定位原理
假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
当文件同时包含a.b.c三种特征码的时候,杀软就报毒啦。这就是所谓的复合特征码。当然杀软在定义
复合特征码的时候可能有好几种组合,好几套特征码。当是复合特征码的时候,在用CCL来定位结果
是很困难的。而MyCCL在CCL的基础上又进步了。这里我们手动用MyCCL来生成5个文件。
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
很明显,很明显从File2开始就有abc特征码的组合了,这样File2到File5就被杀了。被杀以后再用MyCCL,进行二次定位,这样我们就知道了特征码c的位置了。然后再把002h那行置0,再生成一次。
第二次生成5个文件:
========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================
很明显因为002h被我们置0了,这里只有File5有abc特征码了,所以File5被杀,这样另一处c也暴露出来了,这样我们就把所有c特征码都定位出来了。解决了CCL定位复合特征码的困难。然而我们回过头来想想,如果你想修改a或b特征码呢?又如何定位出a或b的特征码呢?这就是MyCCL的一个缺陷。不是定位不出来,而是很费劲。没有特征码保护机制。
----------------------------------------------------------------------------------------------
3.multiccl定位原理
1.假设一种比较极端的情况:
某杀毒软件针对某样本
抽取了如下 a b c d e 的五个特征码片段
而其中的任何一个单独的片段都不构成完整的特征码
更极端的情况是可能有两套这样的组合。
却以其中任何两处来识别。(见 图1)
这样,如果用原来的CCL就很难定位了,就算能定位,操作也
变得很复杂。
(图1)
..............................aaaaaaaaa........................
...............................................................
.............bbbbbbb.........ccc...............................
...............................................................
...................ddddddddd...............eeeee...............
2.针对这种情况
有个思路是从一端开始盖零(考虑到PE文件文件头的重要性
multiCCL选择了从尾端开始往前盖)。
直到如图2所示时,杀毒软件才不能识别
(b片段被破坏了一个字节)
这样b尾端就出来了。
(图2)
..............................aaaaaaaaa.........................
................................................................
.............bbbbbb000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
------------------------------------------------------------------
下面是定b片段的头端了
看看图3 图4 图5 ,注意看b片段中间那个字节的零的移动
(后来发现有时用一个字节的零不行,可改用N个零)
(图3)
..............................aaaaaaaaa.........................
................................................................
.............bbbb0bbb0000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
----------------------------------
(图4)
..............................aaaaaaaaa.........................
................................................................
.............0bbbbbb00000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
----------------------------------------------------------------------
(图5)
..............................aaaaaaaaa.........................
................................................................
............0bbbbbbb00000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000000000000000000000000
--------------上图的a 和 b 两个片段都暴露了--------------------------
图5 中,暴露出完整的a b 两个片段,这下又被杀毒软件认出来了
这样就定位出b段了。
接下来把b希用0盖掉作为新的样本,用杀毒软件检测一下是否被杀,还杀就
重复前面的步骤定 c 段,如图6
(图6)
..............................aaaaaaaaa........................
...............................................................
.............0000000.........ccc...............................
...............................................................
...................ddddddddd...............eeeee...............
-----------------------------------------------------------------------
如果定好c段盖掉后还是被杀就再定 d 段
如图7
(图7)
..............................aaaaaaaaa........................
...............................................................
.............0000000.........000...............................
...............................................................
...................ddddddddd...............eeeee...............
-----------------------------------------------------------------------
这样重复,直到片段d e ……都被找出盖掉后,杀毒软件再也不认了
(后来又发现有些杀毒软件针对零覆盖有干扰,改用随机串)
-----------------------------------
一个字节一个字节来显然太费时间,效率很低的,一次性
生成上千个文件也是不现实的。
所以考虑先用二分法粗定。到范围小时再逐字节替换。
-----------------------------------
从尾端开始数,以1.2.4.6.8……的大小往前盖
即取2的指数阶 , 2^n
一次生成20个左右的样本文件,用杀毒软件检测
以例图说明吧(见 图8图9)
下面这个盖了128 bytes 的还被识别
(图8)
..............................aaaaaaaaa........................
...............................................................
.............bbbbbbb.........ccc...............................
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
-----------上面这个盖了128 bytes的还被识别-------------
--------------下面这个盖了256 bytes 的不被识别了--------------------
(图9)
..............................aaaaaaaaa........................
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
--------------------------------------------------------------------
那就说明距文件末尾256--128之间有个特征码片段,
下一步就以图8为样本,
定位的范围是 图10 中经XXXX标记的区域
(图10)
..............................aaaaaaaaa........................
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
---------------------------------
如此反复,当范围缩小到32字节或更小,二分法就显得效率低下了,
改用逐字节替换法,一次生成最多32个文件。
-----------
另外,
图8 图9 图10 之外,还有一种情况,
就是某次用二分法生成的所有文件
杀毒软件都不识别,那就说明特征码集中在最大盖0范围之前
即图9中 未盖0的区域,这时只要以图9为样本,
定位图11中以YYYY标记的区域
(图11)
YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000
-----------------------------------
后来实际测试及应用中发现这种算法效率不高。
文件定位时改用等分法,内存定位时用一半一半法,这样效率最高。
------------
尾端定出后,再用 图3图4图5 所示的方法把0还字节前移,一次生成32个
文件用杀毒软件检测,如果32个全不被杀时,就取这32个字节作为定位结果
对于这种大尺寸的片段,没必要完全定位出片段的头端。
二、ip定位教程?
1、首先打开手机【设置】应用,然后找到【WLAN】,点击该项进入详细页面。
2、接着在WLAN管理页面,则可以看到已经连接的WiFi网络。
3、其次点击该页面下方的【配置】,进入配置管理页面。
4、之后在配置管理页面,即可看到有【IP地址】的选项,则在选项的右侧即为本机的IP地址的查询定位。
IP是英文Internet Protocol的缩写,意思是“网络之间互连的协议”,也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。正是因为有了IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。因此,IP协议也可以叫做“因特网协议”。
三、findme定位教程?
可以在手机或者设备屏幕上显示你设置的信息,例如“可恶的小偷,尽快还我手机”
2、控制手机以最大的音量播放声音两分钟,就算小偷设置了静音也同样会播放,想想这一点会吓死小偷吧
3、远程直接锁定设备,需要密码才能进入
4、远程直接删除设备上的数据,照片视频啥说不定还是挺重要的,你懂的
5、iOS6最新版本中新加“丢失模式lost mode”,通过4位密码锁定设备,并可以在设备屏幕上显示一个号码,且可以一直反馈设备移动的路径
6、差点忘记说一点,就是使用find my iphone可以直接在地图上找到你的设备定位标注出来,假如设备在你的身边一看就看出来了
7、iPhone、iPad、iPod touch等苹果产品都可以
四、定位烫甩尾教程?
定位烫甩尾是一种颇具技巧性的发型设计,它需要结合头发的自然弧度和流向,通过烫发技巧来增强发型的动感和层次感。以下是一般的定位烫甩尾教程:确定目标发型:在开始烫发前,先确定你想要达到的发型效果。这可能包括发型的长度、形状和纹理等。清洁头发:在开始烫发前,确保头发干净。用温水彻底清洁头发,然后用毛巾轻轻擦干。分割头发:将头发按照所需的形状和层次进行分割。可以使用梳子或手指来辅助进行。烫发:使用烫发工具(如烫发钳或烫发器)将头发烫成所需的形状和层次。注意要保持头发的自然弧度和流向,不要过度扭曲或拉扯头发。造型:使用造型工具(如吹风机或定型喷雾)将烫好的头发定型。可以根据需要使用一些造型产品来增强发型的效果。需要注意的是,定位烫甩尾需要一定的技巧和经验,如果你不熟悉这种发型设计,建议在专业美发师的建议下进行尝试。
五、微定位使用教程?
微定位是一种室内定位技术,可用于实现室内定位、导航、场所分析等需求。下面是微定位使用教程:1. 准备工作
准备需要进行微定位的场所的平面图或三维图,以及需要部署的微定位设备。
2. 设备部署
将微定位设备按照预定的部署方案进行部署。部署方案需要考虑地形、建筑结构、电磁环境等因素。设备包括锚点节点和移动节点,锚点节点需要固定在墙壁或天花板上,移动节点则需要悬挂或放置在需要进行定位的物品或人身上。
3. 数据采集
将设备部署好之后,需要对建筑物内部环境进行扫描、采集和分析,获取无线信号在建筑内的传播模型和特征点,用于后续定位。
4. 数据处理
将采集到的数据进行处理,生成场所的基本定位数据,包括建筑内部各设备的信号强度、距离等信息,以及信号传输路径的模型。
5. 定位测试
部署好设备并处理好数据后,进行定位测试。将移动节点放置在不同位置,观察移动节点在建筑内的定位效果。需要注意的是,定位效果可能会受到设备部署位置、环境干扰等因素的影响。
6. 定位应用开发
根据实际需求,通过数据处理和定位测试,开发适用于室内定位的应用程序,例如导航、场所分析等应用程序。
六、陌陌定位教程?
陌陌有定位功能,用户可以在地图上显示自己的位置。具体的定位教程如下:陌陌提供了定位功能,用户可以通过地图显示自己的位置。陌陌作为一款社交应用,用户可以通过定位功能方便地查找周边的人或群。用户可以开启定位权限,分享自己的位置信息。具体的教程如下:打开陌陌应用,点击底部的“发现”,再点击“附近的人”或“附近的群”,地图会显示周边人或群的位置。如果想向其他用户分享自己的位置,可以在聊天界面点击“+”号,选择“位置”,然后选择要分享的地点即可。用户也可以在“我的”页面中打开“位置”开关,开启定位功能并设置隐私范围。
七、findme定位使用教程?
可以在手机或者设备屏幕上显示你设置的信息,例如“可恶的小偷,尽快还我手机”
2、控制手机以最大的音量播放声音两分钟,就算小偷设置了静音也同样会播放,想想这一点会吓死小偷吧
3、远程直接锁定设备,需要密码才能进入
4、远程直接删除设备上的数据,照片视频啥说不定还是挺重要的,你懂的
5、iOS6最新版本中新加“丢失模式lost mode”,通过4位密码锁定设备,并可以在设备屏幕上显示一个号码,且可以一直反馈设备移动的路径
6、差点忘记说一点,就是使用find my iphone可以直接在地图上找到你的设备定位标注出来,假如设备在你的身边一看就看出来了
7、iPhone、iPad、iPod touch等苹果产品都可以
八、王者改定位教程?
步骤/方式1
登录游戏,点击左上角的头像。
步骤/方式2
点击左下角的社交。
步骤/方式3
点击定位标识。
步骤/方式4
点击左下角的定位标识
步骤/方式5
点击右上角的设置修改新的位置。
步骤/方式6
最后点击使用位置即可。
九、苹果改定位教程?
苹果改定位的教程如下:
1. 在电脑上下载并安装爱思助手,将手机与电脑连接。
2. 在爱思助手的工具箱中点击“虚拟定位”功能,可以进行修改手机的定位。修改前需要通过数据线连接手机设备。
3. 连接后,通过搜索就可以找到地址,并直接定位,点击“修改虚拟定位”按钮即可立即定位。
4. 如果搜索不到的地址,或者国外无法搜索的地址,可以在其它地图上获取定位,然后手动输入坐标就可以直接定位。如果不想再定位,想要恢复原状,点击“还原真实坐标”即可。
需要注意的是,修改定位可能会影响手机的正常使用,请确保您已经了解了可能的风险并谨慎操作。
十、四轮定位教程?
具体流程如下:
1、将车停在电梯上,将前轮停在转盘中心,检查四个胎压。
2、安装传感器,检测减震器,固定方向盘和制动踏板。
3、顶起汽车,设置主要参数测试,根据读数调整场地。
4、调整后,拆除设备,上路行驶,确认定位结果。