大家好

本人第一次做教程没什么技术含量，但对新手学习会有帮助，没做好的地方请原谅。

今天给大家带来的是“上兴过瑞星卡巴（表面内存主动防御）”

需要的工具有4样：

1.MYCCL

2.Ollydbg

3.OC(偏移量转换器）

4.LordPE

为照顾新手 会说很多废话。好的教程开始

1.生成上兴服务端（为节省时间，网上很多教程自己找）

2.开MYCCL定位特征码（为节省时间，网上很多教程自己找）

3.这是我针对瑞星定出来的[特征] 00095E1E_00000002

再用“OC(偏移量转换器）”转换成内存地址

我转好了地址为“00496A1E”

4.开OD，点这个直接跳到开始用OC转换出来的内存地址00496A1E，跳到00496A1E后往上滚下鼠标滚轮就到了这2项了
00496A1D     /75 0D         JNZ SHORT rejoice_.00496A2C
00496A1F  |. |BA EC6A4900   MOV EDX,rejoice_.00496AEC

我们现在来改特征码看操作把这条
00496A1D     /75 0D         JNZ（这个改成JZ） SHORT rejoice_.00496A2C

好了就这么简单 我们来看下可以过瑞星了不，看病毒库日期，过了。再看可以上线不，刚刚开错了恩，OK我自己的IP。

有新手会想为什么定为出来的特征吗不是这个，但改这个却可以免杀是什么原因，具体原因我也不知道，但是  只要大家记得修改毒软定位出来特征码附近的特征码也可以免杀就可以了，这个就要大家多试还要确保修改后可以正常运行上线就可以了

5.下来就是过卡巴了 我们来给他来段花指令
push eax
pop eax
nop
nop
push 2
push -1
push -1
nop
add eax,1
sub eax,1
nop
push 原始入口点
retn
这段花指令很简单 是我随便到网上复制的 要是大家有能力也可以自己写段

6.用OD打开开始过瑞星的上兴的服务端

先把入口点记录下来就这个了黑色的
原入口点00499CD8

7.找段0区域，恩找好了，第一个会成为我们的新入口点
新入口点00499D92

8.现在开始写入花指令，好了现在保存。

9.改入口点，打开LordPE。

就改这个地方 现在复制新入口点 从第4位开始复制就可以了

来看下改好了吗

看见 吗 改好了  变成00499D92了

10.来看下可以过卡巴不，看病毒库日期，OK。
看可以上线不，OK，上了。
由于我的卡巴没装主动防御，我叫朋友帮我试了可以过，我这就不演示了。

其实以上这些修改的原理我并不知道 我只会做不会说 如果你是老鸟一看就知道了 如果你是新手我就算说了你也听不懂 建议新手如果你要学免杀就先去  看些概念性的东西或去参加一些大站的培训班

教程结束。希望可以发个黑吧的激请码给我 谢谢了
我的QQ：10911966（昵称：倪倪）
我的油箱：vvv63000@yahoo.com.cn
                                           888