CCL打造杀毒软件免杀的超级黑器

不是汇编指令，那可不可能是字符串呢？我们在命令行里打“dd 004031d4”，既显示0x004031d4处的内容，然后将数据窗口的显示方式改为“文本àASCII(32)”，随即左下角小窗口中显示出“黑社会”三个字，而且有三处，如图7所示。原来“BADAC9E7BBE1”是这三个汉字的ASCII代码。难道杀毒软件就靠文件中的“黑社会”去识别黑社会？

图片看不清楚？请点击这里查看原图（大图）。

图7

为了证明我们的想法，我们用32位编辑工具UltraEdit打开原文件，搜索“黑社会”三个字，一共找到了7处。干脆，一不做二不休，我们将7处“黑社会”全部替换为“白晶晶”。 保存一下，再用杀毒软件检测，果然认不出来了！黑社会2.0的特征码就这样被我们搞定了，真是得来全不费工夫啊，竟然是直接用汉字作为特征码！运行一下修改过的文件，挺好使，就是“关于”窗口上的标题从“黑社会”变成“白晶晶”了，呵呵！如图8所示。

图片看不清楚？请点击这里查看原图（大图）。