如发现有乱码，请点击下面链接浏览原文
正文摘录:

在弹出的对话框中选择我们要进行免杀操作的术由图中可知，第一个c()DE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置。在用户输入区的“起始位置”处填写00000400，下面的那个验测人小怎么填写昵?看到图中的那个“当前文件大小”了吗?我们可以使用wINDOwS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学型、十六进制.四字.如图23。然后用当前文件大小的值减去起始值00000400，得到的结果为00089A00。我们就在“检测大小”后填E000B9A00，然后点击“添加区段”按钮，如图24。最后点击确定，在新弹出的对话框中点击运行，不过需委注意的是，在进行此步操作时一定要打开杀毒软件的所有功能，F面你要做的就是等待…掣__豳j10≥：黼嚯馨。*‘瓣’：黔曰粼：宙f谕gm圈黜。：亘t}哪”EJ薹兰。“掣#}*《∞f‘图93图24然而光找特征码足不够的，我们还得学会怎样更改，而关于特征码的更改是非常有学问的!为了方便广大读者能够学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是请大家注意，免杀的方法就如同你制作好的免杀的木马一样，都是有生存时间的，而过r这个时问，这种免杀方法就变的不再实朋，或者免杀的效果大打折扣!所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们足在与杀毒软件厂商的专业技术人员“斗法”啊!下面我带大家了解一下目前更改特征码的办法。(1)大小写替换(只适用于文件免杀)适用J：：出现可识别的英文字母或词组，并且确定其不足相关函数(如输入表函数)。操作方法：比如我们在“实战演习”的第一节讲的那样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。原理：利用wINDOwS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀的目的。(2)用00曩充适用于：几乎任何情况，但成功率不是非常高。操作方法：例如我们找到了一处特征码0009EE7F一00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节.也就是0009EI~e7F一0009EE83这一段内容，如图25。图95可能会有读者提出疑问了，你是怎么找到那个地址的呢?而我怎么找不到呢?这是因为winHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可，如图26。然后我们有选择的一处处的使用00进行填充，如图27。毋艚哪一∞精∞litl~H∞工^0量属口瞎¨重牙廿嘧毒屯嚣息‘￡黼溜鞠m6自螂自如盖囱：《如oq￡￡咖b000日EF0bl=<.。一：篮：’螺。：髫┗┻┻┛图26‘，蛆0Ⅸ1工^q)々mt’竺昙，。。!”。’橱。：一’p0ffsoc0l23{S670口09EE305{S3￡㈨7㈣FF日3000gEE4009日BC3￡83C2DF6FF0]口9EE5051F6盯明C3Ee2^2D0009EE60558BECE^D06^00S3口009EE70{9006{FF3064Bg200009EE80世0D口口0095F5FFFF口00虹E9口节’r赏。，售F6FFBD55鎏“曹一f}}’j强t，&：虹m蔷苔。酱j擎群赫曩装黧；FeEBl295F6FFFF75桄f，睡壹u圈27记住要多试几次，8O％的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址使用一个叫做“偏移量转换器”的小程序转换成l6进制偏移量，然后在进行相应操作即可。原理：由于PE文件的特殊格式以及程序编译语占等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”.而这些信息存在与否对于程序是否能JF常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。(3)跳到空白区域适用丁：几乎任何情况，成功率比较高。BDC6F{C0B∞SB^BO$E0DC^日B^3e80毗m阼∞∞”0髓旺“睢“巧