免杀中定位出现死循环的几种可能原因

时间:2014-6-22    作者:晨曦    分类:


在免杀的过程中,定位时经常出现的一种情况是-----死循环



1  填充字符
   假设你用FF填充  而特征码出现的位置对象的字符刚好是FF
   那么就会出现死循环 不管你怎么分割依然全杀 
   这个是很容易理解
2  病毒名不同
   一般出现在定位区间相对较小的范围内!
   假设在某个较小的区间内 填充字符后出现了两个或者多个不同名称的病毒名
   这个时候会造成一种全杀的情况。出现死循环也就必然了。
   其实这个对编程中的算法比较熟悉的话,应该不难解释
3  特征码过多
   特征码过多 实际上和第二种差不多。这个就不解释了  
4  被干扰
   这个也不解释了 

基本上就是上面这几种情况。

防止出现死循环的几种解决方法:
1  更换一下填充字符
2  更改一下分割的数量
3  至于解决云引擎出现的死循环方法。这个另议!

上面的2种方法最好配合使用。

另外还有一点就是,更改分割数量的时候。不一定非要等出现死循环的时候更改!



比如:

假设文件有  ABC 3处特征码

第一次分割数量: 60份
第二次分割数量: 43份
第三次分割数量: 55份  
第四次分割数量: 30份 
///假设在第四次分割过程中 在定位  A 特征码时出现死循环
   BC可以正常定位出来

如果你随意把分割数量改一下 ,

第一次分割数量: 20份
第二次分割数量: 33份
第三次分割数量: 70份 
第四次分割数量: 40份
//修改分割数量后 可能AC是可以正常定位出来的
  而出现死循环的位置在B处


那么经过上面2次不同的分割后。综合上面2种情况 就可以把ABC3处得特征码都可以定位出来

用这种方法解决死循环貌似还是很有用的,至少目前来说是有用的!
精彩尽在http://qqleyi.com