自己的免杀经历（一）

240106

[s:162] 还是个连载么 ?

黑色思维

申明：本文属于原创，转载请注明！黑色空间 http://hi.baidu.com/heisesiwei2008/ 黑色思维

马上要参加工作了，也许以后搞免杀的时间都没有了吧，毕竟工作才是重要的，这个只是个爱好罢了。在这里感谢这长时间来对我帮助的兄弟们感谢那些一起研究免杀的技术的兄弟们！此文献给你们，向你们致敬~阿门……同时也献给正在免杀道路上奔波的各位小菜门。

时间追溯至2005年国内免杀兴起的时间，也正好2005年7月我高中毕业，记得那个时候我还真是个超级菜鸟（虽然现在也是）三个月的长暑假日子总过的那么清淡无聊，还是看看我所喜爱的些网站论坛吧。那个时候我最爱上的就是黑客动画吧（http://www.hack58.com）呵呵或许也有好多朋友都知道，也许是我赶上了那班车吧，黑吧里面的浩天大哥的免杀教程让我找到了新的归宿。免杀！这一词在我脑海中留下了烙印，于是我走上了免杀的道路。

最开始的免杀很简单的记得那个时候要过卡巴，直接加几句小花就OK了，有的兄弟说现在卡巴有的花也能过的，但是有那个时候好过吗？那个时候随便一个ADD改成SUB或者加个JMP或者ADD ESP,4改成ADD ESP,2 ADD ESP,2 就OK了。现在行吗？由此也可见各个杀软的进步还是我们这群免杀者的功劳呢~呵呵。

那个时候难做的就是瑞星的内存了，超级麻烦的，不过算好又浩天大哥的OD一半一半法呵呵，麻烦点但是还是让我们这些小菜爽歪歪了段时间啊那个时候都在用鸽子，呵呵可谓鸽子满天飞啊……一般做免杀都是做鸽子的很少又人说做PC的免杀的，这也是为什么现在有些人用以前的PC做免杀超级简单的而且免杀的时间还很长的原因，也正是为什么现在鸽子被杀的一点肉都没有的原因了。

加壳免杀的概念那个时候也有了，不过我本人不怎么喜欢用那套的，就个人感觉不怎么好而且学不到什么东西就是一堆壳丢上去。。。也记得那个时候07的出现是瑞星内存的噩梦~呵呵。

三个月的暑假说长不长说短不短，有了免杀的陪伴我也没又感觉到多少无聊，也认识了些朋友算很高兴的事情了吧。大学的生活到来了，让我又回到了学生的生活中，种种原因我不得不暂时离开我所喜欢的免杀了。也不是说三年都没有接触，只是接触的比较少了，没有仔细去研究了，这段时间里面，国内的免杀已经可以说是有了质的飞跃了。

08年我大学毕业了，在家待业的这段时间我又想到了免杀这个“老朋友了”，于是翻身上马抄起鼠标点上网站……突然发现现在的免杀完全都不是我当时接触的那些了，没有办法啊，时代在进步杀软也进步哈，人嘛贵在学习啦。小熊、甲壳虫、暗组等等也成了我每天必看的些地方了~什么输入表的免杀，输出表的免杀，加密免杀、NOD32的追杀、卡巴的高启……这些新的概念让我又学习到了很多新的知识。说实话，做免杀只是个个人爱好，要说是以赚钱为目的，我倒是没有体会到，没办法啊骗子多哈。。。。

好了该说的废话该回忆的往事都差不多说完了，下面我就这长时间来的免杀中的种种问题给大家说说吧，希望对大家有所帮助吧。

一、定位

第一点当然是定位的问题了。这个以前还好些现在比较麻烦了，为什么这么说呢，各位免杀爱好者们都知道有时候会出现分多少杀多少，或者循环递减或者修改了还杀。这些都是定位的问题了。

首先定位要了解每款定位工具的定位原理，这个我这里就不多说了。其次要掌握些使用的小技巧，比喻用MYCCL来定位的时候定位反向和正向的不同，还有填充的数值不要老是用00填充，特别是卡巴，很容易出现循环递减或者分多少杀多少。还有multiCCL保护定位，multiCCL是一款十分不错的定位工具，特别是自动定位我最爱了~~呵呵。要善于利用保护定位会给我们减少很多的麻烦。特别是什么杀输入表移动了还杀，最好用保护定位试试，也许可以定位出来别的特征码的哦~

二、特征码的修改

我们定位好了特征码当然再接着就是修改了啊，修改的方法很多了，我这理就不多说了，但是我有一点个人的见解，不要看到特征码就用加1减1还有的小菜们直接NOP掉或者填0然后问为什么我免杀后不能运行了呢？想想也知道啊，那些十六进制数都是对应的程序的代码的，随便修改当然不行了。我建议还是多看看汇编的基础，要了解要修改的特征码在程序中的作用，我们免杀不是让程序无法运行，那样做免杀就没有意义了。在修改特征码中最让我着迷的还是等价替换，把特征码修改成相同作用的特征码这个就是考验一个免杀者的技巧的时候了。还有万能的跳转也是需要多了解的，不过现在可以使用的跳转不单单是以往的JMP跳转了，要是空白空间够用还可以用PUSH、CALL不过这些还是有局限的。

后续在百度空间里