免杀基础汇编知识

今天我以国内著名黑客软件灰鸽子VIP2005为例说下怎么样利用伪SMC的技术加一点伪花指令来改造自己的免杀木马的！这里说的伪SMC的意思是利用SMC的原理转移代码加了一点伪花指令(就是垃圾代码)，没有作任何修改(我不知道要增加什么功能)。
\\花指令:一种反反编译技巧(用一堆没有什么用的代码和无聊的跳转骚扰Cracker的反汇编)
(如果地方不够可以用TOP或ZeroAdd添加区段，鸽子的服务端是地方够了,就不说这两个软件的使用了,TOP不能在WIN2000下使用哦)
所需要工具(http://geren.3322.org都有提供)：
1、加壳工具
2、资源黑客
3、loadPE
4、ollydbg
先生成灰鸽子VIP2005的服务端（这里省略）
导出MAINDLL.DLL            \\RCData_2.bin是被杀的，导出后修改后缀为DLL（或者EXE），其他不修改可以删除(不被杀)
注：可以从MAINDLL.DLL里面再导出的两个DLL（GETKEY.DLL与HOOK.DLL）

说明一下：这里的RCData_2.dll就是MAINDLL.DLL，

然后我们先给RCData_2.dll加壳（所有程序建议先加壳后修改，因为修改后不可以再加壳，加壳工具可以自己选择）
下面我们开始加壳,我选择用北斗星加壳程序（国产的好东东）

我们先用杀毒软件测试是否被杀~~~~呕~~~~有毒 （我电脑只有卡巴，其他的我测试也可以通过）

下面是主要的步骤要开始了~~~~睁大眼睛哦~
为了节省时间我们这里直接修改RCData_2.dll(就是MAINDLL.DLL,里面的小的DLL也是用一样的方法)
用loadpe打开我们的RCData_4.dll记录下入口点与基址RVA
入口点        ：000DF647 +下面的基址RVA,=
基址RVA        ：13140000
新入口地址      ：13266ED0      \\我选这里

然后用Ollydbg打开RCData_2.dll
一直往下拉找到一片空白的地方选择一个地址为新入口地址(请记录这个地址，我把他放在上面↑)

依次输入输入如下代码：
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop 空格 某一处，新的地址

到某一处： \\13266EE4
nop
jmp j1                              \\JMP就是跳转的意思，J1就是另一个空白的地址

j1: jmp j2                        \\跳转到的J1输入跳转到另一个地址（J2）
nop
...............
这次我往上跳~~
jmp jn                              \\跳转N次后到JN
jn: jmp 老入口地址(入口点+基址RVA)1321F647      \\JN处的跳转，当然就是把他跳回去
然后选中我们修改过的代码,复制到可执行部分，选择部分，然后保存文件

最后用loadpe修改刚才保存的文件新入口为记录的新入口13266ED0 - (基址RVA)13140000 =126ED0 保存确定后就OK了
我们再杀毒看看~~~~~~~~~~

成功!!
最后说一下，你导回去这个DLL后也可以用这种方法修改 服务端程序.exe
我就不演示了！