如发现有乱码，请点击下面链接浏览原文
正文摘录:

000C840：J8日000C850：IF4000C860：I10饕嚣驯筹：舞：：蚓器搜索下一t(必搜索上一p(Pj髓雷氍D0盱]酮P’m_可口—奄仃“矗付*霄F。可可—岢甘州呻!!!!!!!!!!塑!!!!!!!!图5最后再使用Restoi’atot将修改后的dll文件导入到Setup.exe，直接拉进去覆盖原来的DLL，接着点保存。步骤5：使用Myccl和C32asm修改Setup.exe的特征码。(1)卡巴的特征码：000045AO一0()000002使用C32asm把下面两句代码交换一下顺序。(2)金山特征码：0000499E00000002在C32asm中把以下代码依次下移一行(3)瑞星特征码：00004.98[)一00000002和过卡巴的方法一样，把下面两句交换一下顺序。按理说现在这样已经可以得到一个免杀的服务端了，但是运行后我的瑞星提示在C：＼Do(：umentsandSettings＼Administrator＼LocalSettings＼Temp下发现了病毒(图7)，但木马还是成功上线了(图8)。图8看来服务端程序会在运行过程中释放一个被杀的临时文件，虽然现在已经可以上线了，但是那个被杀的临时文件仍然会露出马脚，既然要做免杀，就要力求完美，这样才符合X迷的性格。我们来试试看能不能把这个讨厌的临时文件给去掉。下面一点内容涉及到了基础的汇编知识和OD的一些基本用法，在此给小菜们补下课，高手们就请跳过吧。一一使用OD打开经过前面儿步处理过的Setup.exe，查看是服务端里的哪条命令释放了临时文件，如图9。懑豳黼掰鳗豳豳麟瀚燮燃鬻鬻翻黧粼隧黧黼15IILqlfi.'1.'lZt：155pushebp004055898BECRIOllebp，esp0040558B68C0544000ITIOVeax，m3.094054C00040559083EC10subasp，1000405593E898CBFFFFcallm3.00402‘13000405S9890nop0040559990nop0040559A90nop0040559B90nop0040559C90nap0040559DE852FCFFFFcalln3.00405。1F4004055A2E81)5C2FFFFcallm3.9949187C┗┻┻┛图9按F8单步执行程序，当执行到0040559DE852FCFFFFcallSa‘tup.004051F4时，瑞星弹出了如图7所示的对话框，说明是这一句指令产生了临时文件。call命令是调用子程序的意思，callsetup.004051F4就是调用了在004051F4处开始的子程序。先把这个子程序称为子程序A吧。现在按ALT+F2重新运行Setup.exe，然后按ALT+G，转到004051F4，也就是子程序A那里看看，如图l0。∞明∞阡∞呻明垤¨旺盯驰帅明“蛇帅盯呻明呻驰址竹印仰明帅明帅∞阼鲫“明