如发现有乱码，请点击下面链接浏览原文
正文摘录:

操作方法：还是以特征码0009EE7F00000005为例子，假如我们使用00填充的方法失败了，那么不要多想，接下来马L试试OllyDbg，关于o¨yDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编／调试工具.这里我们只用它来帮助我们进行免杀作业，首先要做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业。这里要用到一个叫做。偏移量转换器”的小程序.我们用其转换完毕后得到的内存地址为0049FA7F，如图28。F面我们用Ol】YDbg打开木马服务端，苘先找到一处空白区，并记下它的地址004A24A5，然后找到我们刚才转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则“复制”一。到接剪贴板”，如图29。将其复制到本文文档里备用，然后再将这三行代码一一NOP掉，如图30。一OLlyDb~s………[CPU￡纯露，模块s…efljI互BJ4iiliaIE10LfrI¨J_TE丑_^口JJ刖～趣uIE-…一1…………1’一f：n…H亚§瑚。，0搿誓^-≮一。，量}a。对嚣孵’点辅暖卫B≈嚣r，nHf，，…h¨··}H}’Ill‘1【rI_III…nIIlJI·I{f1㈨’lr、、00~gFn，f”h…f：l…dx·d…dn…s5：【e‘：‘^1II#taQFn^，il'l-d11日nIB0^9Fn8’Ig制-Ii哪帮一：·一t，、。l…”ll、一』一d幽4---·_…’’、If"lit一.’¨‘_la……f-.Ⅲ，n┗┛最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp004A24A5”这条汇编指令，如图3l。记住，在点击“汇编”按钮前一定先把“使用NOP填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84(仔细观察图31)。好了，下面我们回到004A24A5这处刚才找到的空白地址，如图32。珂蠢j-t冲娃一囊；啼j，转一【磅童葛占蕊自；五暾萄碗秘pr弓§b鞭.叶E_哦i口哥am—!dⅢ哪稚Ⅲ_-_口Ⅲ___瞄T!明_———一口硼啊口墨矗嗣I口啊‘‘：：z：…I，h15i：】__一_盈一i一11II“n?“n100BaaddbuteptIdrJ：fPax，a1¨““n“n.{0000addbvtepttdS：fe一¨‘.al鲫糖椭斟.‘t..臻0.焉拍卿强斛酾埔—囊*≈麓一l鼹{薄n0’·n，J‘n，0000addbuteptrds：fPax00“n2，ln9oooo日ddbuteptrds：『PaxnH4n?4n¨0000addbvtePttds：fPax.d1n0’ln。’，|nI)0000dddb”tePtrds：fedx0(}“ny“nf00a0d11dblJtPptrd5：f川“Ifhnj4|{10000dddbutPptI。‘Is：r川┗┻┛图32然后使用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后再将最后一句代码的下一行004A24AA处加入“imp0049FA84”这行代码，如图33。然后单击右键一“复制到可执行文件”一·“所～.~O]lyDbg。蔷；晶’，.銎。篙盎.。啬。一’一一?。?’冀”_。.蔫：t!…“”。“”暇f曩_'┗┻┻┻┻┻┻┛图34