先介绍原理。


举例来说“比如我的电脑硬件损坏，导致不能正常使用。但是我又不知道哪里不正常。用最笨的方法怎么判断出哪里是出错的地方呢？首先。我要对电脑大概进行判断，是显示器不正常还是机箱不正常 于是我更换了显示器。发现依然有错误。那么可以判断出。出错的地方在机箱。于是我进一步缩小范围。来分块判断是CPU不正常还是主版内存不正常。于是我更换了CPU。发现还有毛病。从而判断出出错的地方是主版或者内存。再进一步更换了内存。发现还是有错误。把目标锁定在了主板。最后。我更换了主板，发现电脑修好了。”

这就是特征码的定位原理。



下面具体介绍代码替换免杀原理


文件特征码定位原理

先自动生成了几个或多个文件。其中把这些文件中的部分代码过滤掉。用杀毒软件查杀后。有2种情况。被杀和不被杀。如果文件没有被杀掉。就证明该生成文件中的代码已经被过滤掉了。也就是说。代码就在过滤的部分里。由于被过滤。所以导致没有被杀死。


而那些被杀的文件呢。说明文件里面还存有特征码。但是这个文件中的代码的大致部位没有上面被杀的文件的部位精确。（为什么？因为免杀的东西才叫精确嘛。因为上面的文件免杀。所以我们判断出来特征码是因为被过滤掉所以就在被过滤的地方。）

我们知道了大致位置以后。就要继续进行重复这个步骤。分块过滤。生成文件。杀毒。挑选免杀的文件特征码继续进行精确定位。。


说起来都这么麻烦。更别说手工做了。。用工具来操作吧。早就有前辈做好了工具了

CCL特征码定位工具。

CCL的原理。我已经把说明书给大家了。比我解释的要清楚专业。能不能懂就别怪我了。。我上面说的够清楚啦。。。自己多想几遍就懂了。我想了10几次才明白过来。。可能是我比较笨吧。。