用軟件做免殺改特征碼的方法

一、主動(dòng)免殺1. 修改字符特征：主動(dòng)查找可能的特征碼，包括木馬文件修改注冊表、生成新文件的名稱與路徑、注入的進(jìn)程名等動(dòng)作，也包括運(yùn)行過程中可能出現(xiàn)或一定會(huì)出現(xiàn)的字符等文件特征。然后找出這些字符，并將其修改。2. 修改輸入表：查找此文件的輸入表函數(shù)名（API Name），并將其移位。3. 打亂文件結(jié)構(gòu)：利用跳轉(zhuǎn)（JMP），打亂文件原有結(jié)構(gòu)。4. 修改入口點(diǎn)：將文件的入口點(diǎn)加1。5. 修改PE段：將PE段移動(dòng)到空白位置二、被動(dòng)免殺1. 修改特征碼：用一些工具找出特征碼并針對(duì)特征碼做免殺處理。2. 用Vmprotect：使用Vmprotect加密區(qū)段。3. 文件加殼：可以用一些比較生僻的殼對(duì)木馬文件進(jìn)行保護(hù)。有的朋友看到這里有可能蒙了，PE、Vmprotect、入口點(diǎn)……這些都是什么意思啊？不要著急，下面我會(huì)一一介紹的，只要你看完這篇文章，就一定會(huì)成為免殺高手！怎么樣？Go！3.實(shí)戰(zhàn)演習(xí)1.）修改字符特征好，下面我們依然以一個(gè)病毒防御工作者的角度來考慮我們每一步應(yīng)該做什么，然后在利用逆向思維分而治之。現(xiàn)在假如我們拿到一個(gè)木馬樣本灰鴿子，首先當(dāng)然要分析它究竟有什么功能，怎樣運(yùn)行以及怎樣保護(hù)自己等。其實(shí)這一步要求的專業(yè)知識(shí)是很多的，但考慮到我們的讀者，我們暫且用一個(gè)比較簡單易行的方法——運(yùn)行木馬AND查看此程序的幫助文檔。我們打開RegSnap，新建一個(gè)快照，打開RegSnap后，點(diǎn)擊[新建快照]按鈕（如圖1）。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名與空間、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、肅寧網(wǎng)站維護(hù)、網(wǎng)站推廣。

在彈出的對(duì)話框中選擇[生成所有項(xiàng)目的快照]（如圖2）。然后保存快照，現(xiàn)在已經(jīng)將RegSnap配置好了，下面運(yùn)行我們的木馬程序（提醒：做免殺時(shí)，一定要記住養(yǎng)好隨時(shí)備分的好習(xí)慣，以防止修改錯(cuò)誤或是實(shí)驗(yàn)運(yùn)行時(shí)破壞、刪除木馬）。木馬運(yùn)行完畢后，我們在按照上面的方法重新做一個(gè)快照并保存，然后按快捷鍵F5，在彈出的“比較快照”對(duì)話框中選擇剛才保存的快照，在“第一個(gè)快照”中選擇我們剛才第一次保存的快照，而“第二個(gè)快照”選擇我們后保存的快照存檔，很快結(jié)果就出來了（如圖3）。

有的朋友對(duì)于使用RegSnap收集到的信息感到無力分析，抱怨收集到的東西太多，在這里我簡單的介紹一下，首先應(yīng)注意的是生成做對(duì)比的兩個(gè)快照之間的時(shí)間要盡可能短，另外要排除帶有OpenSaveMRU的注冊表鍵值，還要排除有關(guān)*.rsnp文件的創(chuàng)建讀寫等操作記錄。下面我們就將有用的信息提取出來，逐一分析。文件列表于 C:\WINDOWS\*.*新增文件木馬.exe注冊表報(bào)告新增主鍵HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\復(fù)件 Server02.exe鍵值: 字符串: "復(fù)件 Server02"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class鍵值: 字符串: "LegacyDriver"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID鍵值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService鍵值: 字符串: "木馬服務(wù)"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木馬服務(wù)\Description鍵值: 字符串: "灰鴿子服務(wù)端程序。遠(yuǎn)程監(jiān)控管理."……這里我只摘錄了部分關(guān)鍵性的木馬動(dòng)作記錄，全部記錄請見光盤。通過文件列表我們可以知道木馬在WINDOW目錄下生成了一個(gè)新文件，而通過注冊表的監(jiān)控信息我們也知道了木馬是怎樣將自己注冊為系統(tǒng)服務(wù)并自動(dòng)運(yùn)行的。那么我們回到瑞星的研究分析室，看看那些大哥大姐們會(huì)怎么辦……瑞星大哥：“最近這灰鴿子太猖狂啦！我們是不是應(yīng)該多定義幾套特征碼？”瑞星大姐：“恩，不錯(cuò)！先在注冊表那定義一套特征碼在說吧?！盇1Pass：“STOP！！”（只見畫面突然定格，A1Pass將播放器最小化。）通過上面的對(duì)話，我們可以知道他們要將注冊表的某個(gè)字符定義為特征碼，從上面RegSnap分析出來的記錄來看，他們的選擇真的是太多了！那么他們究竟會(huì)用到哪些呢？其實(shí)，就做為一個(gè)黑客來講，只要不影響服務(wù)端正常運(yùn)行，就應(yīng)該盡量多的改掉木馬的所有字符，當(dāng)然全部改變是不可能的，除非你自己編寫木馬。有的朋友要問了，除了注冊表別的就不可以改了嗎？答案當(dāng)然是否定的，譬如生成新文件的名稱與路徑、注入的進(jìn)程名等動(dòng)作，這些我們可以利用WINDOWS對(duì)字母大小寫不敏感的這一特點(diǎn)直接替換字母的大小寫，而對(duì)于運(yùn)行過程中可能出現(xiàn)或一定會(huì)出現(xiàn)的字符等我們可以直接將其替換成別的內(nèi)容。下面我為大家演示一下怎樣更改注入進(jìn)程的名稱。首先配置服務(wù)端，通過圖4我們可以看出來灰鴿子的啟動(dòng)運(yùn)行是需要“IEXPLORE.EXE”這個(gè)進(jìn)程的，根據(jù)注冊表的推理，我們可以認(rèn)為其未加殼的服務(wù)端是應(yīng)該存在“IEXPLORE.EXE”這一字符串的。既然如此，我們就先請出我們的第一把武器“WinHex”！

WinHex是一款極為出名16進(jìn)制編輯器。得到 ZDNetSoftwareLibrary 五星級(jí)最高評(píng)價(jià)，擁有強(qiáng)大的系統(tǒng)效用。在這里，我們只用它來編輯文件，其余不做過多討論。首先我們用WinHex打開我們的木馬文件“Server.exe”，打開后如圖5所示。

然后我們按[Ctrl]+[F]快捷鍵調(diào)出查找文本對(duì)話框，輸入IEXPLORE.EXE后點(diǎn)擊“是”（如圖6）。

結(jié)果如圖7所示。下面我們就對(duì)其進(jìn)行大小寫轉(zhuǎn)換，用鼠標(biāo)點(diǎn)擊要更改的字母（例如I），然后在按鍵盤上的i，即可完成更改，就象使用WINDOWS的記事本一樣。更改完畢后，按[Ctrl]+[S]快捷鍵保存即可。

就這么簡單？對(duì)！就這么簡單！其他的例如注冊表、生成新文件的名稱與路徑等等都可以利用此方法更改。但是不幸的是，經(jīng)過這樣改后，還不足以對(duì)付例如金山、江民等品牌殺毒軟件，要想對(duì)付這些殺毒軟件的查殺，我們還需要對(duì)我們的木馬進(jìn)行進(jìn)一步處理。下面，我們開始學(xué)習(xí)輸入表函數(shù)（APIName）免殺！2.）修改輸入表不知有的朋友是否知道，PE文件的正常運(yùn)行是離不開其內(nèi)部輸入表函數(shù)的，而不同的程序，其內(nèi)部輸入表函數(shù)的名稱與在文件中的位置是不一樣的，所以輸入表函數(shù)也成了病毒防御工作者制作特征碼緊盯的地方之一。在我查出來的關(guān)于灰鴿子的特征碼來看，“瑞星大哥”已經(jīng)將其的一處輸入表函數(shù)作為特征碼了。所以掌握輸入表函數(shù)免殺技巧對(duì)于新入門的朋友來說勢在必行！

[PE文件小知識(shí)：PE文件是WINDOWS系統(tǒng)中特有的一種文件結(jié)構(gòu)，它包括PE文件頭、輸入表與相關(guān)資源文件等等]經(jīng)過我的測試，直接單獨(dú)修改文件內(nèi)部的輸入表函數(shù)會(huì)導(dǎo)致程序運(yùn)行不正常甚至崩潰！那就沒有辦法了嗎？我可沒那么容易認(rèn)輸！經(jīng)過一翻苦戰(zhàn)，終于讓我在LordPE中找到了解決辦法，同時(shí)FoBnN的文章也給了我非常大的啟發(fā)……我們先打開LordPE，點(diǎn)擊[PE編輯器]按鈕，在彈出的對(duì)話框中選中木馬文件，打開后點(diǎn)擊[目錄]（如圖8）。在點(diǎn)擊導(dǎo)入表后面的[…]（如圖9）。在彈出的對(duì)話框中我們選擇wininet.dll下的InternetOpenUrlA（如圖10），有的朋友要問了，為什么非選擇InternetOpenUrlA這個(gè)輸入表函數(shù)呢？呵呵！那是因?yàn)檫@個(gè)輸入表里有特征碼哦，關(guān)于怎樣確定特征碼，我在后面會(huì)介紹，大家先別著急。

好的，關(guān)于LordPE就先停在這，下面我們就用WinHex來查找InternetOpenUrlA這個(gè)輸入表函數(shù)的所在位置，并將其用0填充（操作方法：單擊WinHex右面的16進(jìn)制信息，輸入0即可）（如圖11、12）。

然后將其寫到空白區(qū)域（既顯示000000的區(qū)域），一定要從頭開始寫入，這樣在以后計(jì)算地址時(shí)不容易出錯(cuò)，除此之外也要注意輸入表函數(shù)的大小寫不要搞錯(cuò)（如圖13）。保存后我們在回到LordPE那里，在需要更改的InternetOpenUrlA輸入表函數(shù)上單擊右鍵，在彈出的菜單里選擇“編輯”，將Thunk里的信息改成000B9D5E（如圖14）即可。有的朋友要問了，剛才我們不是把那個(gè)輸入表函數(shù)放到000B9D60那里了嗎？到這怎么變成000B9D5E了？其實(shí)原理很簡單，因?yàn)槊總€(gè)輸入表函數(shù)前面都是有一個(gè)空格的，我們雖不用真正把那個(gè)空格加進(jìn)去，但填寫它的地址時(shí)一定要空出來，否則就會(huì)出錯(cuò)！而將000B9D60減去一個(gè)空格所占的位置，其地址正好為000B9D5E，還不十分明白的朋友在仔細(xì)看看圖13，下面我們在回到LordPE，看看我們改過的輸入表函數(shù)變成什么樣了（如圖15）？呵呵！那我們該怎么辦呢？其實(shí)簡單的很，只要在重新改一下輸入表函數(shù)的名稱就可以了（如圖16）。有的時(shí)候因?yàn)槲覀兯顚懙牡刂窞楸容^靠后的，例如我們現(xiàn)在改的這個(gè)000B9D5E，后面僅能容納兩個(gè)字節(jié)，所以更改輸入表函數(shù)時(shí)只能鍵入兩個(gè)字，對(duì)于這種情況我們可以先把Thunk里的信息改成如000B9D60這樣的起始地址，改輸入表函數(shù)名更改完畢后在將000B9D60改回原來的值（既000B9D5E），保存后即可成功，我們試一下看看（如圖17）。經(jīng)測驗(yàn)鴿子的各項(xiàng)功能均正常！在用瑞星查一下試試（如圖18），結(jié)果當(dāng)然不言而喻……

3.）修改特征碼雖然到這我們免殺已經(jīng)成功，但是為了學(xué)到更多的技術(shù)，為了讓我們免殺的鴿子存活的更久，下面我在為大家介紹一下特征碼的查找與修改技巧。特征碼是殺毒軟件的心臟，但同樣也是我們的心臟！就看誰先找到對(duì)方地心臟，并能發(fā)出致命一擊，誰就是勝利者！一提到查找特征碼，就不得不說說MyCCL與CCL，這兩個(gè)軟件的名字相信留心過免殺技術(shù)的朋友不會(huì)陌生，但由于軟件操作的傻瓜化，很多時(shí)候?qū)τ贑CL的介紹只是一帶而過，這可苦了入門的朋友！這一小節(jié)我就先介紹一下MyCCL的用法……我們先來認(rèn)識(shí)一下MyCCL（如圖19），根據(jù)這張圖我們下面就來大體介紹一下MyCCL的應(yīng)用方法。首先點(diǎn)擊第1處選擇文件，然后在第2處輸入分塊個(gè)數(shù)，分塊個(gè)數(shù)越多，定位越精確，然而生成的速度同時(shí)也就越慢，生成的文件總體積也就越大，就象灰鴿子這么大的服務(wù)端，如果分塊數(shù)為300的話，那么它生成文件的總體積將超過230M！所以在這里不建議填寫太大的數(shù)字，一般象灰鴿子這樣的服務(wù)端分塊數(shù)填400個(gè)就足夠了。生成完畢后會(huì)彈出個(gè)對(duì)話框提醒你去相應(yīng)目錄殺毒，圖中所示為“E:\文章\極度免殺\鴿子\OUTPUT”文件夾，我們到那個(gè)文件夾下開始?xì)⒍?，查到病毒就讓殺毒軟件將其徹底刪除，注意，這一點(diǎn)很重要！處理完畢后點(diǎn)擊第3處的二次處理，在點(diǎn)擊[生成]上面的[特征區(qū)間]按鈕即可出現(xiàn)右面的對(duì)話框。下面我們在“區(qū)間設(shè)定”里右鍵單擊特征碼區(qū)間，在彈出的菜單中選擇“復(fù)合精確定位此處特征”（如圖20），然后重復(fù)上面的操作，直到你認(rèn)為[單位長度]已經(jīng)小到很方便更改的時(shí)候，特征碼的定位就算結(jié)束了。好了，一口氣說了這么多，不知道剛?cè)腴T的朋友是否懂得一些MyCCL的用法了沒有……但是上面我們定位的是文件特征碼，還有內(nèi)存特征碼沒有定義，這里我們要用到CCL的內(nèi)存特征碼定位功能，打開CCL后，我們依次選擇[文件]→[特征碼驗(yàn)測]→[內(nèi)存特征碼]（如圖21）。

在彈出的對(duì)話框中選擇我們要進(jìn)行免殺操作的木馬，然后會(huì)進(jìn)入“定位范圍選擇窗口”（如圖22）。由圖中可知，第一個(gè)CODE段的偏移量為00000400，也就是說我們可以用00000400做為起始位置，那么我么就在用戶輸入?yún)^(qū)的“起始位置”處填寫00000400，下面的那個(gè)驗(yàn)測大小怎么填寫呢？看到圖22中畫線的那個(gè)“當(dāng)前文件大小”了嗎？我們可以用WINDOWS系統(tǒng)自帶的計(jì)算器進(jìn)行計(jì)算，把計(jì)算器的“查看”菜單設(shè)置為科學(xué)型、十六進(jìn)制、四字（如圖23）。然后用當(dāng)前文件大小的值減去起始值00000400，得到的結(jié)果為000B9A00，那么我們就在“驗(yàn)測大小”后填上000B9A00，然后點(diǎn)擊“填加區(qū)段”按鈕（如圖24）。最后點(diǎn)擊確定，在新彈出的對(duì)話框中點(diǎn)擊運(yùn)行，不過需要注意的是，在進(jìn)行此步操作時(shí)一定要打開殺毒軟件的所有功能。下面你要做的就是等待……然而光找特征碼是不夠的，我們還得學(xué)會(huì)怎樣更改，而關(guān)于特征碼地更改是非常有學(xué)問的！這里為了方便廣大讀者能學(xué)以致用，在此我只介紹部分理論知識(shí)，著重介紹實(shí)踐操作，但是我想請大家注意，免殺的方法象你做完免殺的木馬一樣，都有生存時(shí)間，而過了這個(gè)時(shí)間，這種免殺方法就變的不在實(shí)用，或者免殺效果大打折扣！所以要想真正成為免殺高手，還的打牢基本功，不斷創(chuàng)造出新的免殺方法，因?yàn)槲覀兪窃谂c殺毒軟件廠商的專業(yè)技術(shù)人員“斗法”??！關(guān)于需要注意的問題就先講的這，下面我?guī)Т蠹蚁葋砹私庖幌履壳案奶卣鞔a的辦法。1. 大小寫替換（只適用于文件免殺）適 用 于：出現(xiàn)可識(shí)別的英文字母或詞組，并且確定其不是相關(guān)函數(shù)（如輸入表函數(shù)）。操作方法：如咱們“實(shí)戰(zhàn)演習(xí)”的第一節(jié)講的一樣，只須將大小寫替換一下就可以了，例如特征碼中出現(xiàn)了A，你只要將其替換為a即可。原 理：利用WINDOWS系統(tǒng)對(duì)大小寫不敏感，而殺毒軟件卻對(duì)大小寫非常敏感這一特性達(dá)到免殺目的。2. 用00填充適 用 于：幾乎任何情況，但成功率不是非常高。操作方法：例如我們找到了一處特征碼0009EE7F_00000005，那么根據(jù)這段特征碼信息我們可以知道它的位置在0009EE7F，大小為5個(gè)字節(jié)，也就是0009EE7F-0009EE83這一段內(nèi)容（如圖25）。

一直跟著文章實(shí)踐操作的朋友肯定有疑問，你是怎么找到那個(gè)地址的呢？而我怎么找不到呢？那是因?yàn)閃inHex的默認(rèn)偏移量為decimal模式，我們單擊Offset欄將其改為16進(jìn)制模式即可（如圖26）。

然后我們有選擇的一處處地用00填充（如圖27）。記住要多試幾次，80%的情況下你都能找到一處既能免殺又不影響程序正常運(yùn)行的區(qū)域。對(duì)于定義出的內(nèi)存特征碼，只要將其內(nèi)存地址用一個(gè)叫做《便宜量轉(zhuǎn)換器》的小程序轉(zhuǎn)換成16進(jìn)制偏移量，然后在進(jìn)行相應(yīng)操作即可。原 理：由于PE文件的特殊格式以及程序編譯語言等問題，使得生成目標(biāo)代碼的效率并不高，難免出現(xiàn)一些“垃圾信息”，而這些信息存在與否對(duì)與程序是否能正常運(yùn)行并不起決定性的作用，而當(dāng)木馬的這部分“垃圾信息”被定義為特征碼時(shí)，我們完全可以將其刪除，而刪除的方法就是用無任何意義的00將其替換。3. 跳到空白區(qū)域適 用 于：幾乎任何情況，成功率比較高。操作方法：還是以特征碼0009EE7F_00000005為例子，假如我們使用00填充的方法失敗了那么不要多想，接下來馬上試試OllyDbg，關(guān)于OllyDbg我就不多介紹了，它是非常棒而且非常專業(yè)的一個(gè)動(dòng)態(tài)反匯編/調(diào)試工具，這里我們只用它來幫助我們進(jìn)行免殺作業(yè)，首先應(yīng)該做的就是將我們的16進(jìn)制偏移量0009EE7F轉(zhuǎn)換為內(nèi)存地址，因?yàn)镺llyDbg的工作原理是先將程序釋放到內(nèi)存空間里，然后才能進(jìn)行相關(guān)作業(yè)…這里要用到的是一個(gè)叫做《便宜量轉(zhuǎn)換器》的小程序，我們用其轉(zhuǎn)換完畢后得到的內(nèi)存地址為0049FA7F（如圖28）。

下面我們用OllyDbg打開我們的木馬服務(wù)端，首先找到一處空白區(qū)，并域記下這的地址004A24A5，然后找到我們剛轉(zhuǎn)換過來的地址0049FA7F，先將以0049FA7F開始以下的這三行數(shù)據(jù)選定，然后單擊右鍵選則[復(fù)制]→[到接剪貼板]（如圖29）。將其復(fù)制到本文文檔里備用，然后在將這三行代碼一一NOP掉（如圖30）。最后右鍵點(diǎn)擊0049FA7F，在彈出的對(duì)話框中選擇匯編，并寫入“jmp 004A24A5”這條匯編指令（如圖31）。記住，在點(diǎn)擊[匯編]按鈕之前一定先把“使用 NOP 填充”前面的勾去掉。然后我們記下匯編后0049FA7F的下面那個(gè)地址0049FA84（仔細(xì)觀察圖31）。好，下面我們回到004A24A5這處剛才找到的空白地址（如圖32）。

然后用剛才匯編的方法把在本文文檔里備用的信息一句句地匯編進(jìn)去，然后在將最后一句代碼的下一行004A24AA處加入“jmp 0049FA84”這行代碼（如圖33）。然后單擊右鍵→[復(fù)制到可執(zhí)行文件]→[所有修改]（如圖34）。

在彈出的對(duì)話框中選擇“全部復(fù)制”然后保存即可。而對(duì)于內(nèi)存免殺就省去了內(nèi)存地址轉(zhuǎn)換這一步了。原 理：大家先看圖35，由圖中可知，正象此方法的名字“跳到空白區(qū)域”一樣，這種方法的原理就是將原本含有特征碼的信息轉(zhuǎn)移到空白區(qū)域，并把原先位置的信息全部NOP掉，并在那里加一個(gè)跳轉(zhuǎn)指令，讓其跳到004A24A5處，也就是我們找到的空白區(qū)域，并把原來在0049FA84的信息移到這里，加完信息后在加一條指令讓其在跳回去，以使程序連貫起來。

4. 上下互換適 用 于：幾乎任何情況，成功率比較高。操作方法：先用OllyDbg載入木馬程序，假定其特征碼為0009EE7F_00000005，我們還是先用《偏移量轉(zhuǎn)換器》將其轉(zhuǎn)換為內(nèi)存地址，上面我們已經(jīng)知道0009EE7F對(duì)應(yīng)的內(nèi)存地址為0049FA7F，然后在OllyDbg中找到相應(yīng)位置，利用上面“跳到空白區(qū)域”里介紹的修改方法將0049FA7F上下兩句代碼調(diào)換位置即可。而對(duì)于內(nèi)存免殺就省去了內(nèi)存地址轉(zhuǎn)換這一步了。原 理：殺毒軟件的特征碼定位是嚴(yán)格按照相關(guān)偏移量于內(nèi)存地址進(jìn)行的，而其實(shí)我們的應(yīng)用程序中的機(jī)器碼執(zhí)行順序的先后在一般情況下是沒有死規(guī)定的，所以我們只需將其上下互換，殺毒軟件自然就不認(rèn)識(shí)了。5.ADD與SUB 互換適 用 于：在內(nèi)存特征碼中出現(xiàn)ADD或 SUB指令的，成功率比較高。操作方法：用OllyDbg載入木馬程序，假定其特征碼所對(duì)應(yīng)的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000我們可以將ADD ECX 10000000這段機(jī)器碼改為SUB ECX F0000000，更改完畢后保存為EXE文件即可。原 理：我們都知道1+1=2，我們也知道1-（-1）=2，上面就是利用了這個(gè)原理，其中ADD指令的就是加意思，而SUB則是減的意思。雖然被我們互換了一下，但是最終結(jié)果還是一樣的，可是換完之后殺毒軟件就不認(rèn)識(shí)了。到這里，關(guān)于特征碼的查找與修改就講完了，但是除此之外呢？答案是還有許多?。∠旅嫖覀兙鸵黄鹂纯雌渌鈿⒎椒?。4.）其他免殺方法改文件頭：這里所說的改文件頭包括加頭去頭，文件加花。關(guān)于加頭去頭，我們還是用OllyDbg。用OllyDbg載入后，OllyDbg會(huì)自動(dòng)停在入口點(diǎn)（如圖36）。

我們將頭三行機(jī)器碼復(fù)制保存起來，然后找到空白區(qū)域，用匯編的方法一一將其寫入（如圖37）。然后在后面寫入一條JMP指令，讓其跳到初始入口點(diǎn)的第四行，相信一直仔細(xì)看本文的朋友一定明白其原理，如果忘了的話可以看上面修改特征碼的第三種方法，原理與這差不多，修改完畢后如下所示：004A2A73 0000 add byte ptr ds:[eax],al004A2A75 0000 add byte ptr ds:[eax],al004A2A77 55 push ebp004A2A78 8BEC mov ebp,esp004A2A7A B9 04000000 mov ecx,4004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50004A2A84 0000 add byte ptr ds:[eax],al004A2A86 0000 add byte ptr ds:[eax],al004A2A88 0000 add byte ptr ds:[eax],al

上面的add byte ptr ds:[eax],al就是所謂的空白區(qū)域，我們看到改完后的頭文件位于004A2A77，所以我們還要用PEditor改一下入口點(diǎn)，打開PEditor后載入文件，將入口點(diǎn)處的地址改為我們的新文件頭地址004A2A77（如圖38），保存后即可。

絕望了，高手進(jìn)‘‘

啊哈,有活干啦~

恩,建議用NOD32吧 占系統(tǒng)資源極小,而且殺毒效率超高(本人親身體會(huì))

因?yàn)楣俜较螺d要用帳號(hào)和密碼,所以你也可以用迅雷下.要么,你也可以去 藍(lán)鳥NOD32 下

下面是轉(zhuǎn)自NOD32官方的自述(不會(huì)有假):ESET NOD32只占極少系統(tǒng)資源，不會(huì)影響電腦速度，帶給您升級(jí)硬件般的感受。ESET NOD32掃描速度全球領(lǐng)先，高達(dá)40MB/s以上，掃描系統(tǒng)時(shí)不必再漫長等待。 ESET NOD32連續(xù)九年In the Wild病毒無一遺漏，唯一45次通過VB100%權(quán)威認(rèn)證。

ESET NOD32在全球共獲得超過100多個(gè)獎(jiǎng)項(xiàng),包括Virus Bulletin, AV Comparative 2006年度總冠軍，PC Magazine, ICSA認(rèn)證, Checkmark認(rèn)證等, 更加是全球唯一通過45次VB100%測試的防毒軟件,高居眾產(chǎn)品之榜首！

官網(wǎng)

如果實(shí)在下載不了的話,你就去下載

對(duì)了,你在藍(lán)鳥(就是上面的網(wǎng)站)里注冊個(gè)帳號(hào),就可以在普通會(huì)員區(qū)找到用戶可密碼了,那里是站長專門弄的,都可以用 相信我,老兄~

NOD32 沒錯(cuò)~

再來比較下卡巴和NOD32誰厲害吧(我個(gè)人的經(jīng)歷),首先是卡巴,占系統(tǒng)資源很大,幾乎是占了內(nèi)存30MB以上!有時(shí)還會(huì)更高!我的最高記錄是被占了49MB.恩 但卡巴確實(shí)比較厲害,殺毒能力我不否認(rèn).世界一流的,不像瑞星,殺個(gè)木馬都?xì)⒉涣?我以前用瑞星,殺個(gè)特洛伊,重起后他又出來了,安全模式下他都?xì)⒉涣?所以我對(duì)瑞星徹底失望,還有很多類似的,我就不多說了)再者來看看卡巴的網(wǎng)絡(luò)防毒吧,有一次,我進(jìn)入一個(gè)小說網(wǎng)站:云霄閣(現(xiàn)在已經(jīng)被公安機(jī)關(guān)關(guān)掉了,因?yàn)榍址噶藢懶≌f作者的權(quán)利),那個(gè)時(shí)候我用的還是卡巴,而就在那幾天,我經(jīng)同學(xué)介紹,換了NOD32,結(jié)果一進(jìn)那網(wǎng)站,就提示我有木馬.起先我還不信,而后來找來位高手看過網(wǎng)站后,他告訴我是有個(gè)木馬,可能是被人掛進(jìn)去的.我當(dāng)時(shí)楞了好久啊

再來看看殺毒效率吧,也就是我換NOD32的那天,我用NOD32給自己的電腦來了個(gè)全盤掃描,結(jié)果掃出了2個(gè)病毒(也就是說,卡巴沒掃出來)而且,掃完全盤不超過半個(gè)小時(shí)(我的電腦用卡巴掃過,用了2個(gè)小時(shí)27分)掃描速度也比卡巴快了吧

我打字打不動(dòng)了 用不用隨你吧 嘎嘎 88

spoolsv.exe-應(yīng)用程序錯(cuò)誤

在打印文檔的時(shí)候，中途突然出現(xiàn)“spoolsv.exe應(yīng)用程序錯(cuò)誤，

0x03030303指令引用的0x03030303內(nèi)存，該內(nèi)存不能為read“的提示。關(guān)閉文檔后，馬上又打開office文檔，依然可以進(jìn)行一些簡單的編輯，但只要點(diǎn)頁面設(shè)置或打印，文檔就死。在網(wǎng)上搜了很多的解決方案，試了三天，終于找到了一個(gè)解決問題的方法。1、首先看“c:\windows\system32\spool\prints\”下有無文件，如果有文件，則全部刪除，此時(shí)電腦中毒的可能性比較大（因?yàn)闆]中病毒的電腦，這個(gè)文件夾里是空的）?？捎?60打好系統(tǒng)補(bǔ)丁，然后殺毒。2、進(jìn)入安全模式，刪除c:\windows\system32\中的spoolsv.exe文件。3、在桌面選中“我的電腦”，選擇“管理”；選取“服務(wù)和應(yīng)用程序”項(xiàng)目下的“服務(wù)”選項(xiàng)，在右側(cè)找到“Print

Spooler”服務(wù)，進(jìn)入“Print

Spooler”服務(wù)設(shè)置；將“啟動(dòng)類型”設(shè)置為“禁止”。4、刪除打印機(jī)驅(qū)動(dòng)，清空回收站，臨時(shí)文件夾等。5、重啟電腦（此時(shí)一定要重啟電腦），進(jìn)入正常模式，先將Print

Spooler”服務(wù)“啟動(dòng)類型”設(shè)置為“自動(dòng)”。然后將另一正常電腦中c:\windows\system32\中的spoolsv.exe文件拷到該電腦同一位置中。重裝打印機(jī)驅(qū)動(dòng)，最后再重啟電腦（一定要重啟電腦spoolsv.exe是一種延緩打印木馬程序，它使計(jì)算機(jī)CPU使用率達(dá)到100%，從而使風(fēng)扇保持高速嘈雜運(yùn)轉(zhuǎn)。目前網(wǎng)上提供的方法或許能夠解決前期問題，但對(duì)最新的變種現(xiàn)象暫時(shí)無能為力.偶爾出現(xiàn),是程序沖突，沒什么關(guān)系,不用管他。

簡單的小問題,你修復(fù)下就可以了,告訴你修復(fù)的方法,100%可以

開始

運(yùn)行

輸入：CMD

在輸入：

for

%1

in

(%windir%\system32\*.dll)

do

regsvr32.exe

/s

%1關(guān)于spoolsv.exe病毒的解決方案一、判別自己是否中毒

1、點(diǎn)開始－運(yùn)行，輸入msconfig，回車，打開實(shí)用配置程序，選擇“啟動(dòng)”，

感染

以后會(huì)在啟動(dòng)項(xiàng)里面發(fā)現(xiàn)運(yùn)行Spoolsv.exe的啟動(dòng)項(xiàng)，

每次進(jìn)入windows會(huì)有NTservice

的對(duì)話框。

2、打開系統(tǒng)盤，假設(shè)C盤，看是否存在C:\WINDOWS\system32\spoolsv文件夾，里面

有個(gè)spoolsv.exe文件，有“傲訊瀏覽器輔助工具”的字樣說明，正常的spoolsv.exe

打印機(jī)緩沖池文件應(yīng)該在C:\WINDOWS\system32目錄下。

3，打開任務(wù)管理器，會(huì)發(fā)現(xiàn)spoolsv.exe進(jìn)程，而且CPU占用率很高

二、清除方法

1、重新啟動(dòng)，開機(jī)按F8進(jìn)入安全模式。

2、點(diǎn)開始－運(yùn)行，輸入cmd，進(jìn)入dos,利用rd命令刪除一下目錄（如果存在）

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos窗口下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回車，出現(xiàn)提

示，輸入y回車，即可刪除整個(gè)目錄。

利用del命令刪除下面的文件（如果存在）

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比如在dos窗口下輸入：del(空格）C:\windows\system32\spoolsv.exe，回車，即可

刪除被感染的spoolsv.exe，這個(gè)文件可以在殺毒結(jié)束后在別的正常的機(jī)器上復(fù)制正

常的spoolsv.exe粘貼到C:\windows\system32文件夾。

3、重啟按F8再次進(jìn)入安全模式

（1）桌面右鍵點(diǎn)擊我的電腦，選擇“管理”，點(diǎn)擊“服務(wù)和應(yīng)用程序”-“服務(wù)”，

右鍵點(diǎn)擊NTservice，選擇“屬性”，修改啟動(dòng)類型為“禁用”。

（2）點(diǎn)開始，運(yùn)行，輸入regedit，回車打開注冊表，點(diǎn)菜單上的編輯，選擇查找，

查找含有spoolsv.exe的注冊表項(xiàng)目，刪除。可以利用F3繼續(xù)查找，將含有spoolsv.

exe的注冊表項(xiàng)目全部刪除。

三、再次重新正常啟動(dòng)即可

病毒清了后你的SPOOLSV.EXE文件就沒有了,且在服務(wù)里你的后臺(tái)打印print

spooler

也不能啟動(dòng)了,當(dāng)然打印機(jī)也不能運(yùn)行了,在運(yùn)行里輸入"services.msc"后,在"print

spooler"服務(wù)中的"常規(guī)"項(xiàng)里的"可執(zhí)行文件路徑"也變得不可用,如啟動(dòng)會(huì)顯示"錯(cuò)

誤3:找不到系統(tǒng)路徑"的錯(cuò)誤,這是因?yàn)槟愕淖员淼南嚓P(guān)項(xiàng)也刪了,(在上面清病毒的

時(shí)候)

解決方法:

1:在安裝光盤里I386目錄下把SPOOLSV.EX_文件復(fù)制到SYSTEM32目錄下改名為spoolsv

.exe,當(dāng)然也可以在別人的系統(tǒng)時(shí)把這個(gè)文件拷過來,還可以用NT/XP的文件保護(hù)功能

,即在CMD里鍵入SFC/SCANNOW全面修復(fù),反正你把這個(gè)文件恢復(fù)就可以了。本帖已經(jīng)提

供了無毒的spoolsv.exe下載。

2:修改注冊表即可：進(jìn)入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

\Spooler”目錄下，新建一個(gè)可擴(kuò)充字符串值，取名：“ImagePath”，其值為：“

C:\WINDOWS\system32\spoolsv.exe”（不要引號(hào)）再進(jìn)入控制面板中啟動(dòng)打印服務(wù)

即可

這種方法非常繁瑣，

其實(shí)最簡單的方法是：

清空

C:\WINDOWS\system32\spool\PRINTERS

目錄下所有的文件；

前提是：

已經(jīng)使用了殺毒軟件排除了病毒和已經(jīng)使用防間諜軟件排除了惡意軟件。我曾經(jīng)遇到過這種情況，360頑固木馬清除，殺毒，用網(wǎng)上的方法，都不行，最后重裝了系統(tǒng)．

go語言應(yīng)用程序內(nèi)存錯(cuò)誤，高分懸賞

應(yīng)用程序發(fā)生異常 未知的軟件異常

1.病毒木馬造成的，在當(dāng)今互聯(lián)網(wǎng)時(shí)代，病毒坐著為了獲得更多的牟利，常用病毒綁架應(yīng)用程序和系統(tǒng)文件，然后某些安全殺毒軟件把被病毒木馬感染的應(yīng)用程序和系統(tǒng)文件當(dāng)病毒殺了導(dǎo)致的。

2.應(yīng)用程序組件丟失，應(yīng)用程序完整的運(yùn)行需要一些系統(tǒng)文件或者某些ll文件支持的，如果應(yīng)用程序組件不完整也會(huì)導(dǎo)致的。

3.系統(tǒng)文件損壞或丟失，盜版系統(tǒng)或Ghost版本系統(tǒng)，很容易出現(xiàn)該問題。

4.操作系統(tǒng)自身的問題，操作系統(tǒng)本身也會(huì)有bug 。

5.硬件問題，例如內(nèi)存條壞了或者存在質(zhì)量問題，或者內(nèi)存條的金手指的灰塵特別多。

應(yīng)用程序發(fā)生異常怎么辦

1.檢查電腦是否存在病毒，請使用百度衛(wèi)士進(jìn)行木馬查殺。

2.系統(tǒng)文件損壞或丟失，盜版系統(tǒng)或Ghost版本系統(tǒng)，很容易出現(xiàn)該問題。建議：使用完整版或正版系統(tǒng)。

3.安裝的軟件與系統(tǒng)或其它軟件發(fā)生沖突，找到發(fā)生沖突的軟件，卸載它。如果更新下載補(bǔ)丁不是該軟件的錯(cuò)誤補(bǔ)丁，也會(huì)引起軟件異常，解決辦法：卸載該軟件，重新下載重新安裝試試。順便檢查開機(jī)啟動(dòng)項(xiàng)，把沒必要啟動(dòng)的啟動(dòng)項(xiàng)禁止開機(jī)啟動(dòng)。

4.如果檢查上面的都沒問題，可以試試下面的方法。

打開開始菜單→運(yùn)行→輸入cmd→回車，在命令提示符下輸入下面命令 for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1回車。

完成后，在輸入下面

for %i in (%windir%\system32\*.ocx) do regsvr32.exe /s %i 回車。

如果怕輸入錯(cuò)誤，可以復(fù)制這兩條指令，然后在命令提示符后擊鼠標(biāo)右鍵，打“粘貼”，回車，耐心等待，直到屏幕滾動(dòng)停止為止。（重啟電腦）。