CCL打造杀毒软件免杀的超级黑器

核心提示： 为什么要改Add和Cmp两句？因为Jmp指令占了5个字节，而Add和Cmp均为3字节指令，CCL打造杀毒软件免杀的超级黑器(6)，只能两个一起改了，好，由于这些段的默认属性里没有“可执行”这一项，你把代码移过去执行自然会报错，我们将0x0040180E处改为Jmp

为什么要改Add和Cmp两句？因为Jmp指令占了5个字节，而Add和Cmp均为3字节指令，只能两个一起改了。好，我们将0x0040180E处改为Jmp 00405D20，多出一个字节我们改为Nop。接着在空白处将原来的Add和Cmp两条指令补上，尾部再来个Jmp回去的代码。在Jmp回去时，可以回到Nop，也可以直接跳到Ja处，这里选择跳回Nop。

00405D20　　　　　　 83C0 C1　　　　　　　　　　 add eax,-3F

00405D23　　　　　　 83F8 39　　　　　　　　　　 cmp eax,39

00405D26　　　　 ^ E9 E8BAFFFF　　　　　　 jmp WinShell.00401813

修改完毕，我们保存一下先。在OllyDbg窗口中单击右键选择“复制到可执行文件—>全部保存”，然后保存到WinShell.exe中。OK，在菜单中选择“重新运行”，回到0040180E处，确定刚才的修改已经保存了。关闭OllyDbg，找到WinShell.exe，用杀毒软件进行扫描。嘿嘿，卡巴斯基已经认不出它来了！如图5所示，收功！

图5

你也许会问，不管什么杀毒软件都是这样修改吗？答案是：NO。各个杀毒软件对特征码的定义是不一样的，唯一的方法就是分别对每个平台进行检测，再有针对性的修改。修改方法一样：指令顺序调换法和通用跳转法！对了，还有一点：尽量在代码段中找空，但有时候代码段中的空隙实在是不够，就把跳转的代码写在别的段中。由于这些段的默认属性里没有“可执行”这一项，你把代码移过去执行自然会报错，这时用PE修改工具将段属性加上可执行就可以了。