新闻链接：86bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3!0D9M7#2)9J5c8U0b7H3y4e0R3H3i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2014-08-13
新闻正文：
目前比较常有名气的特征码定位器主要有CCL与MYCCL，他们都采用文件分块定位的办法，定位效果带有运气成份，且可能每次定位出的位置都不尽相同，这个免杀带来了困难。研究杀毒软件特征代码时日渐久，慢慢认识到这样一个事实：

杀毒软件在判断特征代码时，一般会解析文件格式，例如PE文件，大致过程可以认为检查这些关键项目
MZ -> PE - >CODE->DATA->IMPORT TABLE->EXPORT TABLE->RESOURCE...
等，我们可以这样假设报毒过程，如果检测文件是PE,如果在CODE位置存在 标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这个3个条件，那么杀软就会报毒,VIRTEST工作原理就是要找到引起报毒最后一个标志，也就是假设中的标志C。

因此VIRTEST采用2分排除法，测试标志C所在文件中的位置，由于被杀的文件可能存在多个 类似于ABC这样的连锁条件，所以我们必须要通过一种排除机制，先要找最靠近文件前部的连锁条件，排除掉文件尾部数据，当找到第一个连锁条件后，抹掉引标志C，再恢复尾部数据，

然后继续测试另外的连锁条件，直到找到最后一个连锁条件，抹掉后，整个文件免杀了，则说明特征代码被定为完毕了，所以VIRTEST绝对可以精确的定位出所有的复合特征。这比文件分块定位法先进得多，更为科学。

所以VIRTEST5.0必定是当前最先进，最好的特征代码定位器，免杀的必备武器。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！