软件作者：niu-cow in NE365

开发调试环境及工具 :
    win2k+sp4
    dev-cpp 4.992
    ollydbg 1.10
    winHex 12.5
包含文档：
    multiCCL.exe            程序主文件
    multiCCL_readme.txt     本说明文档


本版只有手动文件定位，没有内存定位和自动定位的功能
（现在暂时不考虑写自动定位了）
　（PE文件的内存定位在重点考虑之中，另外也在找有关驱动方面的资料）


因为现在只为测试核心算法及读写文件的稳定性，等测试
（现在核心算法测试基本稳定，下个版本将是beta版了）


通过后再添加。现在的界面也很马虎，用cmd界面也是为测试

方便，因为随时都可输出中间信息。

　　现在已知的问题是：
　　　　1.　刚开始定位一个样本时，当输出目录中存在旧的记录文件，
　　　　　　多数时候程序会写不了新的记录，不知道是什么原因。
　　　　　　　（知道原因的请告诉我，谢谢）
      2.　没有保存配置信息的功能
（（听 tankaiha 一说还真不想写GUI界面了））

;　　要注意的是，每次提醒杀毒时，一定要把识别出的文件全部删除，
否则程序会判断错误的。

记录文件格式：

只要注意以下几个字段就可以了：

[CharactorCodz]

;特征码总数
CharactorTotal=

;特征码的记录格式是 H_起始偏移_结束偏移_长度_……
;一般只要注意 起始偏移 结束偏移 就够了。记录的是文件偏移，
;　用十六进制表示
;特征码1
Codz1=
;特征码2
Codz2=
;……

;当OK=1时表示定位成功完成，ok=0表示定位没有成功
ok=

;----------------------------
;另外也请看看更新记录，里面也有部分说明
;
; 同时也请帮助统计定位一个样本特征码所需的时间，大致记录下就行
; 结果请反馈到： http://vxer.cn/bbs/read.php?fid=9&tid=112&page=1
;-----------------------------------------------
;统计内容包括：
;--------
;基本信息: 哪种杀毒软件的XXX文件定位
;1 样本文件大小:
;2 总共定位出特征码片段的数量:
;3 总共需要杀毒软件扫描几次:
;4 定位总用时：
;5 定位结果评价:  基本可用/有较大偏差/很不可靠
;----------------------------------------------
;BTW: 本程序针对的目标是杀毒软件的复合特征码的定位，
　　　当然也包括单一特征码了。

;免责声明：本程序只供学习，不得用于商业。本程序可能存在某些缺陷，
　　　　　　及其他可能隐含的问题，
　　　　　使用中可能造成一切后果，由使用者自行负责。
　　　　　如果您对此很在意则请勿使用。

;感谢您的测试，使用中请保留本说明文档，发现任何问题请到NE365的BBS上反馈。
;（我不是NE365的VIP，只借用一下NE365的地方　http://vxer.cn/bbs　，一并致谢NE365
;及各位网友的帮助和测试　，大家多多支持NE365吧）

　　　　　　　　　　　　niu-cow   
                     2006-04-22
-----------------------
更新历史：
   v 0.012 alpha :
       （当前版本）
              1-修正了记录中特征码长度多出一个字节的错误。
      
              2-当发现特征码片段的长度超过32byte时，就取这32位作为片段结果
                 反正只要篡改片段里的任何一个字节就行，定出这么长就够了，
                  发现有的杀毒软件的取样片段（如卡巴斯基 vs AngleShell )
　　　　　　　　　　　　　　的长度有点不可思议，硬要找出片段的头端简直是浪费时间。
　　　　　　　　　　　所以，在分析定位结果时，特征码片段的尾端一般是精确的，
　　　　　　　　　　　　　当片段长度 <32bytes（记录中用的是十六进制的20) 时，
                   头端也是精确的，否则头端可能还在更前面。
                反正记录结果对于修改来说，已经够用了。
                                2006-04-22

   v 0.011 alpha : 重新排列了按键及暂停，便操作更简洁
                                2006-04-21

   v 0.010 alpha : 原始版本，算法调试基本通过
                                2006-04-21

下载链接http://vxer.cn/downloads/multiCclAlpha.rar

更新了一下附件，作者又更新了一些BUG，需要的就重新下载一下

更新历史：
   v 0.012 alpha :
       （当前版本）
              1-修正了记录中特征码长度多出一个字节的错误。
      
              2-当发现特征码片段的长度超过32byte时，就取这32位作为片段结果
                 反正只要篡改片段里的任何一个字节就行，定出这么长就够了，
                  发现有的杀毒软件的取样片段（如卡巴斯基 vs AngleShell )
　　　　　　　　　　　　　　的长度有点不可思议，硬要找出片段的头端简直是浪费时间。
　　　　　　　　　　　所以，在分析定位结果时，特征码片段的尾端一般是精确的，
　　　　　　　　　　　　　当片段长度 <32bytes（记录中用的是十六进制的20) 时，
                   头端也是精确的，否则头端可能还在更前面。
                反正记录结果对于修改来说，已经够用了。
                                2006-04-22

ne365的老大？
既然谈到特征码定位工具 ，顺便附加一个地址，以便于类似资料集中。用的时候好找。哈哈：））
http://vxer.cn/hmx/

[程序发布] 特征码定位器CCL使用录像 tankaiha 2005-11-14 721
8 [程序发布] 偏移量转换器OC 程序及源码 tankaiha 2005-11-14 610
9 [程序发布] [更新]特征码定位器CCL v2.8 tankaiha 2005-11-14 1449
以上作者为楼主。