挑戰(zhàn)殺軟菜鳥免殺上興服務端

前幾天看到有人免殺了灰鴿子的服務端，我便想到我所免殺的上興來，雖然我的免殺技術說不上是爐火純青，但是對我來說是夠用了。下面我就把我的免殺方法和大家分享一下。

我喜歡用上興200 7SP2，免殺它的服務端用到的工具有：OLLYICE、WlNHEX、PEditor、北斗加殼工具、oc偏移量轉換器、myccl、zeroadd。

躲過殺軟

個人認為。加花加殼的免殺方法對于現在流行的殺軟來說沒有什么太大的殺傷力，所以還是采用修改特征碼的方法比較好些。

首先生成一個無殼的上興服務端，用myccl復合定位服務端的特征碼，找到如下幾處：

1 00091 384_00000002

2 0001 C278_00000002

3 0009A712_00000002

4 0009A720_00000002

先來看看1處，用WINHEX打開服務端，按ALT+M來到00091384這里?？梢钥吹竭@里是兩個字母Hy，把大小寫轉換一下。變成“hY”，保存文件。

用OC偏移量轉換器將另外三處轉化為內存地址。它們分別為：

2 0041CE78

3 0049831 2

4 00498320

用OLLYICE打開服務端，按Ctrl+G輸入0041 CE78來到2處，將Je改為imp。下面來到3處，我們可以看到3、4兩處均在入口點附近，我們可以把它們下移到空白處以達到免殺的目的。我在免殺時發(fā)現金山毒霸的特征碼與3、4很近。所以就一起移動好了。金山特征碼如下：

UUUgA6E2_U0000UU2

內存位置：004982E2

既然如此那就從004982E2這向下移?？瞻讌^(qū)域我選的是0049836C。

從004982E2開始到00498327這18行代碼內容輸入到剛才選好的空白區(qū)域內，要注意這段代碼中跳轉的那句不要弄錯。輸入完畢后在后面寫上一句jmp 00498329。然后再將原位置的18行代碼NOP掉，在004982E2處寫入imp 0049836C，使代碼保持連貫。在窗口點擊右鍵，“復制”－“全選”，再次在窗口點擊右鍵，“復制到可執(zhí)行文件”－“所有修改”，在彈出的窗口里單擊右鍵，保存文件即可。

手工加花

用zeroadd添加一些空白區(qū)域，用OLLYICE打開剛才修改過的服務端。按ALT+M找到剛才添加的區(qū)域，寫入花指令，由于版位有限，花指令代碼收錄在本期光盤中：

記下花指令第一句的位置，保存文件。打開PEditor，修改為新的入口點，點擊應用更改即可。

收尾工作

打開北斗，選擇我們要免殺的服務端，將服務端壓縮兩次，這樣不僅能夠減小服務端的體積，也能躲過NOD32和江民的查殺。好了。測試一下，上興的各項功能也很正常，OK，免殺完成。

本人在免殺完畢后本想對上興服務端母體做免殺的，可是無奈無法脫掉“ASProtect 12x-13x[已注冊]”這個加密殼，如果有高手知道，請予以指點。

責任編輯 來 斌