前幾天看到有人免殺了灰鴿子的服務(wù)端，我便想到我所免殺的上興來(lái)，雖然我的免殺技術(shù)說(shuō)不上是爐火純青，但是對(duì)我來(lái)說(shuō)是夠用了。下面我就把我的免殺方法和大家分享一下。

我喜歡用上興200 7SP2，免殺它的服務(wù)端用到的工具有：OLLYICE、WlNHEX、PEditor、北斗加殼工具、oc偏移量轉(zhuǎn)換器、myccl、zeroadd。

躲過(guò)殺軟

個(gè)人認(rèn)為。加花加殼的免殺方法對(duì)于現(xiàn)在流行的殺軟來(lái)說(shuō)沒(méi)有什么太大的殺傷力，所以還是采用修改特征碼的方法比較好些。

首先生成一個(gè)無(wú)殼的上興服務(wù)端，用myccl復(fù)合定位服務(wù)端的特征碼，找到如下幾處：

1 00091 384_00000002

2 0001 C278_00000002

3 0009A712_00000002

4 0009A720_00000002

先來(lái)看看1處，用WINHEX打開(kāi)服務(wù)端，按ALT+M來(lái)到00091384這里?？梢钥吹竭@里是兩個(gè)字母Hy，把大小寫轉(zhuǎn)換一下。變成“hY”，保存文件。

用OC偏移量轉(zhuǎn)換器將另外三處轉(zhuǎn)化為內(nèi)存地址。它們分別為：

2 0041CE78

3 0049831 2

4 00498320

用OLLYICE打開(kāi)服務(wù)端，按Ctrl+G輸入0041 CE78來(lái)到2處，將Je改為imp。下面來(lái)到3處，我們可以看到3、4兩處均在入口點(diǎn)附近，我們可以把它們下移到空白處以達(dá)到免殺的目的。我在免殺時(shí)發(fā)現(xiàn)金山毒霸的特征碼與3、4很近。所以就一起移動(dòng)好了。金山特征碼如下：

UUUgA6E2_U0000UU2

內(nèi)存位置：004982E2

既然如此那就從004982E2這向下移。空白區(qū)域我選的是0049836C。

從004982E2開(kāi)始到00498327這18行代碼內(nèi)容輸入到剛才選好的空白區(qū)域內(nèi)，要注意這段代碼中跳轉(zhuǎn)的那句不要弄錯(cuò)。輸入完畢后在后面寫上一句jmp 00498329。然后再將原位置的18行代碼NOP掉，在004982E2處寫入imp 0049836C，使代碼保持連貫。在窗口點(diǎn)擊右鍵，“復(fù)制”－“全選”，再次在窗口點(diǎn)擊右鍵，“復(fù)制到可執(zhí)行文件”－“所有修改”，在彈出的窗口里單擊右鍵，保存文件即可。

手工加花

用zeroadd添加一些空白區(qū)域，用OLLYICE打開(kāi)剛才修改過(guò)的服務(wù)端。按ALT+M找到剛才添加的區(qū)域，寫入花指令，由于版位有限，花指令代碼收錄在本期光盤中：

記下花指令第一句的位置，保存文件。打開(kāi)PEditor，修改為新的入口點(diǎn)，點(diǎn)擊應(yīng)用更改即可。

收尾工作

打開(kāi)北斗，選擇我們要免殺的服務(wù)端，將服務(wù)端壓縮兩次，這樣不僅能夠減小服務(wù)端的體積，也能躲過(guò)NOD32和江民的查殺。好了。測(cè)試一下，上興的各項(xiàng)功能也很正常，OK，免殺完成。

本人在免殺完畢后本想對(duì)上興服務(wù)端母體做免殺的，可是無(wú)奈無(wú)法脫掉“ASProtect 12x-13x[已注冊(cè)]”這個(gè)加密殼，如果有高手知道，請(qǐng)予以指點(diǎn)。

責(zé)任編輯 來(lái) 斌