CCL打造杀毒软件免杀的超级黑器

重新设置参数为自动，读入原文件，在“用户输入区”直接输入起始位置2DC2和检测大小16E1，不填充0，然后点击添加区段，确定后进入操作窗口。打开监测，单击GO，开始自动检测，操作方法和检测WinShell时一样。又经过一番对鼠标右键的折磨，终于得出了结果：

　　-------------定位结果------------

序号　　　 起始偏移　　　　 大小　　　　 结束偏移

0001　　　 000031C6　　　 00000016　　　 000031DC　　　

0002　　　 00003A16　　　 0000002C　　　 00003A42　　　

0003　　　 00003A44　　　 0000002C　　　 00003A70　　　

0004　　　 00003A71　　　 0000002C　　　 00003A9D　　　

0005　　　 00003AA0　　　 0000002C　　　 00003ACC　　　

0006　　　 00003ACD　　　 0000002C　　　 00003AF9　　　

哇，有6处！老规矩，柿子要挑软的捏，我们先来查看范围最小的0001项。OllyDbg打开原文件，找到0x004031C6处，看看是些什么。怎么回事？不是汇编指令啊！除了0就是几个毫无意义的数据。

004031C6　　　　　　 　　 00　　　　　　　　　　　　　　　　　　 db 00

……

004031D4　　　　　　 BA　　　　　　　　　 db BA

004031D5　　　　　　 DA　　　　　　　　　 db DA

004031D6　　　　　　 C9　　　　　　　　　 db C9

004031D7　　　　　　 E7　　　　　　　　　 db E7

004031D8　　　　　　 BB　　　　　　　　　 db BB

004031D9　　　　　　 E1　　　　　　　　　 db E1

004031DA　　　　　　 00　　　　　　　　　 db 00

……