CCL打造杀毒软件免杀的超级黑器

回到CCL，确认窗口显示的信息无误后，单击GO，开始自动检测。这时，你会发现“我的电脑”文件夹里多了两个文件，名称形如“OUT_XXXXXXXX_YYYYYYYY”，其中8个X代表当前替换0的起始偏移，8个Y代表替换多少字节的0。几秒钟内，会有一个文件被杀毒软件自动删除（再强调一下，7秒钟是你设定的等待时间，要确保含特征码的文件在这7秒内被删除掉），7秒后会生成另外两个文件，这是CCL进行下一轮检测了。这样等啊等，期间不停的在生成文件图标上点鼠标右键（不知道除了卡巴斯基，其它的杀毒软件需不需要这样的刺激），过了2分多钟，结果出来了。

　-------------定位结果------------

序号　　　 起始偏移　　　　 大小　　　　 结束偏移

0001　　　 0000180C　　　 00000014　　　 00001820　　　

0002　　　 00002130　　　 00000050　　　 00002180　　　

0003　　　 00002810　　　 00000028　　　 00002838　　　

0004　　　 000028D8　　　 00000014　　　 000028EC　　　

这个结果说明特征码可能在这四段中。定位成功了？呵呵，不要急，这才刚刚完成了一半，下面还要对文件进行修改，并最后确定特征码的位置与类型。小提示：四处结果不一定都需要改，如果只改动一处就成功，那是最好不过的。挑一处段大小最小的改吧，就第一项，从文件偏移0x180C开始的0x14个字节。我们用OllyDbg打开WinShell.exe，来到0x0040180C处。这里省略了文件偏移和内存偏移的转换，代码如下：

0040180E　　　　　　 83C0 C1　　　　　 　　　　 add eax,-3F　　　　　　　　　　　　　　　　　

00401811　　　　　　　　　　　　　 83F8 39　　　　　 　　　　　 cmp eax,39