1.2.1 MyCLL定位器

当杀毒软件遇到新的病毒时，就会从该病毒程序中截取一段二进制程序代码（特征码），来当作是否是病毒的特征，所以更改特征码就成为免杀最常见也比较有效的方法。在修改特征码之前，往往需要先对特征码进行定位，而定位特征码通常有手工定位和自动定位两种方法。在一般情况下，先使用手工定位确定大范围，再使用自动定位确定小范围。MyCLL就是一款非常经典的特征码定位软件。

使用MyCLL特征码定位器定位特征码的具体操作步骤如下。

步骤1：下载并运行“MyCLL特征码定位器V3.0”软件，即可打开“MyCLL Ver3.0”主窗口，在其中可以查看应用软件的特征码，如图1.2.1-1所示。

图1.2.1-1

步骤2：在“MyCLL Ver3.0”主窗口中单击右边的“文件”按钮，即可打开“打开”对话框，在其中选择需要定位特征码的文件，如图1.2.1-2所示。

图1.2.1-2

步骤3：单击“打开”按钮，即可在“MyCLL Ver3.0”主窗口中下半部分看到该文件包含的PE文件信息，如图1.2.1-3所示。

图1.2.1-3

步骤4：单击“特征区间”按钮，即可打开“填充/特征码区间设定”对话框。在“开始位置”和“结束位置”文本框中分别输入开始位置和结束位置对应的特征码后，单击“添加已确定特征码范围”按钮，即可添加该特征码区间，如图1.2.1-4所示。

图1.2.1-4

步骤5：单击“MyCLL Ver3.0”主窗口中的“生成”按钮，即可打开“程序将清空设置目录里面的所有文件”提示框，如图1.2.1-5所示。

图1.2.1-5

步骤6：单击“Yes”按钮，即可打开“请对生成目录进行杀毒”提示框，如图1.2.1-6所示。单击“OK”按钮，即可在“MyCLL Ver3.0”主窗口中看到生成文件的具体路径，如图1.2.1-7所示。

图1.2.1-6

图1.2.1-7

步骤7：单击“二次处理”按钮，即可在“MyCLL Ver3.0”主窗口中看到复合特征码定位结果，如图1.2.1-8所示。

图1.2.1-8

步骤8：根据定位的结果在专门修改特征码工具中打开该木马文件，将特征码所在的位置替换为0。再使用杀毒软件进行杀毒，如果没有报病毒就表明定位的结果是正确的，同时也完成修改特征码操作。