挑戰(zhàn)殺軟菜鳥免殺上興服務(wù)端(全文)

精品文檔-下載后可編輯挑戰(zhàn)殺軟菜鳥免殺上興服務(wù)端(全文)前幾天看到有人免殺了灰鴿子的服務(wù)端，我便想到我所免殺的上興來，雖然我的免殺技術(shù)說不上是爐火純青，但是對(duì)我來說是夠用了。下面我就把我的免殺方法和大家分享一下。

我喜歡用上興2007SP2，免殺它的服務(wù)端用到的工具有：OLLYICE、WlNHEX、PEditor、北斗加殼工具、oc偏移量轉(zhuǎn)換器、myccl、zeroadd。

躲過殺軟

個(gè)人認(rèn)為。加花加殼的免殺方法對(duì)于現(xiàn)在流行的殺軟來說沒有什么太大的殺傷力，所以還是采用修改特征碼的方法比較好些。

首先生成一個(gè)無(wú)殼的上興服務(wù)端，用myccl復(fù)合定位服務(wù)端的特征碼，找到如下幾處：

100091384_00000002

20001C278_00000002

30009A712_00000002

40009A720_00000002

先來看看1處，用WINHEX打開服務(wù)端，按ALT+M來到00091384這里?？梢钥吹竭@里是兩個(gè)字母Hy，把大小寫轉(zhuǎn)換一下。變成“hY”，保存文件。

用OC偏移量轉(zhuǎn)換器將另外三處轉(zhuǎn)化為內(nèi)存地址。它們分別為：

20041CE78

300498312

400498320

用OLLYICE打開服務(wù)端，按Ctrl+G輸入0041CE78來到2處，將Je改為imp。下面來到3處，我們可以看到3、4兩處均在入口點(diǎn)附近，我們可以把它們下移到空白處以達(dá)到免殺的目的。我在免殺時(shí)發(fā)現(xiàn)金山毒霸的特征碼與3、4很近。所以就一起移動(dòng)好了。金山特征碼如下：

UUUgA6E2_U0000UU2

內(nèi)存位置：004982E2

既然如此那就從004982E2這向下移?？瞻讌^(qū)域我選的是0049836C。

從004982E2開始到00498327這18行代碼內(nèi)容輸入到剛才選好的空白區(qū)域內(nèi)，要注意這段代碼中跳轉(zhuǎn)的那句不要弄錯(cuò)。輸入完畢后在后面寫上一句jmp00498329。然后再將原位置的18行代碼NOP掉，在004982E2處寫入imp0049836C，使代碼保持連貫。在窗口點(diǎn)擊右鍵，“復(fù)制”－“全選”，再次在窗口點(diǎn)擊右鍵，“復(fù)制到可執(zhí)行文件”－“所有修改”，在彈出的窗口里單擊右鍵，保存文件即可。

手工加花

用zeroadd添加一些空白區(qū)域，用OLLYICE打開剛才修改過的服務(wù)端。按ALT+M找到剛才添加的區(qū)域，寫入花指令，由于版位有限，花指令代碼收錄在本期光盤中：

記下花指令第一句的位置，保存文件。打開PEditor，修改為新的入口點(diǎn)，點(diǎn)擊應(yīng)用更改即可。

收尾工作

打開北斗，選擇我們要免殺的服務(wù)端，將服務(wù)端壓縮兩次，這樣不僅能夠減小服務(wù)端的體積，也能躲過NOD32和江民的查殺。好了。測(cè)試一下，上興的各項(xiàng)功能也很正常，OK，免殺完成。

本人在免殺完畢后本想