如发现有乱码， 请直接从这里浏览原文
正文摘录:

用OD来定位鸽子瑞星内存特征码熙熙快跑最近瑞垦很是变态，不查杀mycc1载人内存的文件了，导致了我们定位内存特征码的困难，相信很多菜鸟都不知道该怎么办吧。下边给大家介绍一种我定位灰鸽子瑞星内存一直使用的办法，那就是使用OD。其实很早就有使用oD一半定位的方法了.不过今天我要介绍的是使用另一种办法，熟练以后不比myccl慢。好了，废话少说，进入主题。先生成鸽子服务端，使用OD将服务端载人，如图l。我们使用瑞星检查一下内存.如图2。怎么会有两个鸽子呢?而且路径还一样?原来是鸽子运行时调用了系统的一些函数，这个调用的过程也被当作病毒处理了，所以就会出现上边这种情况。而将特征码全部图2改，然后使用瑞星查杀内存，没有发现病毒，如图5。我们把第一次查杀无毒的代码全部nop掉，免得干扰，这样就可以逐步缩小范围，如图6。千万注意，一定要记得第一次“撤消选择处修改”的最后那句代码的地址，不然就前功尽弃了，因为你搞不清楚到底你第一次还原了多少代码。这在定位特征码的后期尤为重要，不然的话会浪费很多时间。不过大家也可以看到，选中的代码和没选中的代码有明显的区别，利用这一点也可以确定选中的最后一句代码。我们继续“撤消选择处修改”，没有病毒.继续还原代码。好了，出现病毒了，如图7。说明有特征码在刚才还原的代码中。现在我们从上面开始nop一部分刚才查杀的代码，可能会有菜鸟要问了，为什么此处要这样做呢?从下面往上面nop不一样吗?反正有特征码在刚才查杀的代码段里面。原因是如果从下面开始nop的话，很容易与下面我们刚开始nop的程序代