工具 myccl
我找个QQ木马演示吧
首先保证是无壳的
有壳的话就是定位的壳的特征了
看操作
分块个数看文件大小决定
这个60K 可以分多一点
写100 像鸽子700多 可以先写10

一般的木马定位代码端就行 就是code段
如果出现生成的文件全部被杀光了 
那就得全部定位
这个木马就是没直接写出代码端
我们全局定位
这样就行 后面的别改
如果是鸽子的话
    CODE 00000400 000A1200
就写上这些 写完再回车
QQ木马的其他可以不管了 直接生成
被卡巴杀 我们就定位他的
用卡巴杀生成的文件 全部删掉
再点二次处理
点这个二次处理一直到杀不到毒为止
看他的特征区间 23D个字节
太大了 我们再复合定位
我习惯定位到一个字节
杀完了
[特征] 00001BD1_00000001 这个就是特征代码
我们测试下
我们修改这个 看咔吧还杀不杀
FF 这个用跳转可以修改
怎么修改就下个教程教你吧
我填充你看
再杀下
这样就免杀了
下次再做