测试的平台有：咔吧，瑞星，江民，金山，nod32，诺顿

工具：MyCCL复合特征码定位器 官方下载地址：http://www.allinhack.com/blog/ 
     Ollydbg            这个看雪有下载 http://www.pediy.com
     OC              官方下载地址：http://www.vxer.cn/hmx/   
     UE              这个工具华军软件园有下 
     Rescope            这个看雪有下载 http://www.pediy.com
     nsAnt.exe          一个猛壳，打包给大家

免杀思路：我个人认为应该先给你的木马加壳或者加花，然后用杀毒软件杀一下，看看有那些杀毒软件杀，然后单独定位那个杀毒软件的特征码，修改特征码的时候，先直接改试试，然后如果不行再指令调换或者通用跳转法！最后加壳和加花处理，免杀就成功了！
        
         现在瑞星的内存查杀好象不那么强了，咔吧的文件查杀是依然那么变态，而且特征码更新的很勤！nsAnt.exe这款壳很猛，加壳后只有咔吧杀，其他都过，所以我们就只定位卡巴的文件特征码！然后修改！

免杀过程：1.导出MAINDLL.DLL，然后再导出GETKEY.DLL，我们看看查杀结果,咔吧杀，江民杀，nod32杀，瑞星杀，诺顿过，金山杀！我们来给它加个壳，在看查杀的结果，只剩咔吧杀了！

         咔吧的文件查杀果然是强！我们来定位特征码。用MyCCL，操作很简单，大家看我操作就可以了！

         2.GETKEY.DLL咔吧文件特征码定位结果：
         [特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址，注意这里要改成3d

         指令调换：
         003DBBB6      |. 8D45 F8        lea eax,dword ptr ss:[ebp-8]
         003DBBB9          BA 06000000    mov edx,6

         3.加壳在看查杀结果！全过！

         4.把GETKEY.DLL导回到MAINDLL.DLL，在看看MAINDLL.DLL的查杀情况，咔吧是不杀的，其他的我们只要加个壳就过了！

         5.MAINDLL.DLL导回到Setup.exe，看看查杀结果，咔吧还是杀的，定咔吧的特征码，然后改掉！在加壳就都过了！

         6.Setup.exe咔吧文件特征码定位结果：
           [特征] 0000BD6A_00000004//1314C96A
           [特征] 0000C202_00000004//1314CE02 和刚才定的不太一样，因为有的时候，你分块不同结果也可能不同！

           一共有两处都需要改！

           第一处，[特征] 0000BD6A_00000004//1314C96A

           1314C967          A1 50E91413    mov eax,dword ptr ds:[1314E950] 
           1314C96C          50          push eax
          
           指令顺序调换，就可以了！

         第二处，[特征] 0000C202_00000004//1314CE02
        
           大小写替换一下就可以了！我们定位的结果是很准的，看咔吧不杀了吧！

       7.最后加壳，看免杀效果，瑞星的内存是过的！看看能不能上线！看瑞星的内存查杀已经不那么强了，我们并没有去定为内存！好了，都过了。希望大家都能有自己免杀的鸽子！
         总是定在文件头，可以先给鸽子加个壳，在定！或者去头在定！因为是复合特征码的原因！

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力