这个要讲究“天时、 地利、人和”。天时，即指最好的进庄时机，一般是当宏观经济运行至低谷而有启动 迹象之时， 此时入庄意味着在日后的操控过程中能得到来自基本面的正面配合，能顺应市场大趋势的发展。从本质上来讲，庄家只是大规模的投资者，他们的进庄行动也必须符合市场发展趋势的要求。地利即是选择合适的个股。一般来讲在正式炒作之前，会有一份详细的立项报告送呈机构老总，里面仔细分析了该股票适于炒作的理由，并有完整的操作计划。人和，即
与各方面关系协调。

2.

吸货

庄家常用的吸货手法是：先设法打穿重要的技术支撑位，引发技术派炒手的止损盘，形成股价向淡形态，同时散布利空传闻，动摇投资者持股信心。但是，在股价走势最恶劣的时候，却有一股力量在悄悄吸纳，群众在恐慌之余回神一看，价却并没有下跌多少。

3.

洗盘

洗盘的主要目的在于垫高其他投资者的平均持股成本，把短线跟风客赶下车去，以减小进一步拉升股价的压力。同时，在实际的高抛低吸中，庄家也可以赚取可观的差价，以弥补拉升段付出的较高成本。

4.

拉升

庄家对股价的控制能力基本上决定于他控制筹码的程度。我们常常看到一天涨20%以上的黑马， 但身边的朋友中很少有人持有这只股票，或者曾经持有却已在前几天的振荡中抛掉了。这种懊悔的心情很多人都经历过。 事实上，这只股票之所以能够一天涨20%，正是因为散户手中很少持有，绝大部分抓在庄家手上。这样的股票拉升起来极少获利压力，而盘中巨大的成交量大部分是庄家自买自卖造出来的，庄家当然可以随心所欲地控制股价。

5.

出货

出货是庄家操作中最关键的一环，也是最难的一关，它直接决定做庄的成败。

一般来讲，庄家出货的手法有三种：

(1)

振荡出货法

在高价区反复制造振荡，让散户误以为只是在整理而已，于振荡中慢慢分批出货。这种出货时间长，常用于大盘股或重要的指标股出货操作。

(2)

拉高出货法

发布突发性的重大利好消息，之后巨幅高开，吸引散户全面跟进，这时一边放量对倒，一边出货，往往一两天就完成出货操作。这种出货方式要求人气旺盛，消息刺激性强，适合中小盘股操作。但这种出货方式庄家风险很大，只能在行情较为火爆时才能稍有把握成功出货。

(3)

打压出货法

直接打压股价出货。这种情况的出现，往往因为庄家发现了突发性的利空。或者某种原因迫使庄家迅速撤庄。投资者千万别以为庄家只有拉高股价才能出货，事实上庄家持股成本远远低于大众持股水平，即使打压出货也有丰厚利润。这种出货方式阴险毒辣，容易将股性搞坏，一般庄家不愿采用。

其实明白了道理后，是个很简单的工作，却费了我不小的时间。简单介绍一下：

从一篇教程上看这个原理是叫”文章质疑”，我是第一次知道这个名词，也不知道到底是不是应该翻译或解释，暂且就这样用吧先！

文章质疑（query posts）并不是WordPress中一个很难理解的技巧，简单说就是只让站内首页显示某几个分类的文章。

做法：在index.php文件中找出这句：

<?php while (have_posts()) : the_post(); ?>

在其上方添加质疑语句：

<?php
if (is_home()) {
query_posts("cat=-3&showposts=5");
}
?>

上面语句中的cat=-3代表的是把分类ID为3的文章去掉。如果写成cat=3，没有负号在前，就表示只显示分类ID为3的文章，大家注意这个负号的意思。如果需要去掉多个类别，请用英文逗号分隔，如写成cat=-3,-4；如果只需要显示几个类别，写成cat=3,4则可。

另外showposts=5代表的是显示5篇文章，这个数字大家可以自己更改。

通过上面的方法，基本可以满足大家对首页只显示指定文章功能的实现。这里还有要注意的是这个方法的页面中分页功能不能。解决办法是，把上面文章质疑的语句稍作更改如下：

<?php$limit = get_option('posts_per_page');$paged = (get_query_var('paged')) ? get_query_var('paged') : 1;query_posts('cat=-1&showposts=' . $limit=5 . '&paged=' . $paged);$wp_query->is_archive = true; $wp_query->is_home = false;?>

其中我们把限制文章显示数改为变量调用：$limit=5，修改这里的数字则可。这样就能继续正常使用类似page-navi，page-bar的WordPress分页插件了。

当你利用query_posts("cat=-3&showposts=5")这样的代码去除分类3的文章时，你也可以利用query_posts("cat=3&showposts=5")这代码只显示分类3的文章。所以，我们新建一个页面模板，譬如命名为your-special-page.php。利用文本编辑器编辑该文件，在其开头加上：

<?php
/*
Template Name: Your special Page
*/
?>

注意，这段代码必须要有，虽然看起来像注释，但确实在声明模板名称，等下创建页面时要用到，很奇怪php里居然可以这样子使用注释代码。这位老兄就是因为误以为是注释而浪费了很多时间。

如果你想简单点的话，就在上面代码后直接把index.php内的文件内容复制进去，但要注意，我们需要在下面这一句：

<?php while ( have_posts() ) : the_post() ?>

的前面增加如下代码：

<?php
$limit = get_option('posts_per_page');
$paged = (get_query_var('paged')) ? get_query_var('paged') : 1;
query_posts('cat=3&showposts=' . $limit=5 . '&paged=' . $paged);
$wp_query->is_archive = true; $wp_query->is_home = false;
?>

这样，我们就能让其只显示分类ID为3的文章内容。

接着我们把这个your-special-page.php文件上传到WordPress主题模板目录内。然后我们在后台新建一个页面，名称自定，内容为空，但必需注意在页面模板一栏选择“Your special Page”，然后选择发布，你便能实现在该页面显示自己选定的分类文章。

另外在这里顺带补充一下对文章内容显示控制的几点：

1. 如果你已经在首页中隐藏了某些分类的文章，同时你也想在WordPress的分类列表中隐藏那些分类，可以用<?php wp_list_categories('exclude=4,7'); ?>这个调用代码，例子中的是在分类列表中去除ID为4和7的分类；

2. 如果再进一步，你想在你的feed中去除那些隐藏的分类文章。这里有一个简单的办法，就是在主题目录下的functions.php中添加如下代码：

function my_cat_exclude($query) {
if ($query->is_feed) {
$query->set('cat','-20,-21,-22');
}
return $query;
}
add_filter('pre_get_posts','my_cat_exclude');

虽然可以手动修复，但因为是远程控制的，速度实在是有点受不了，于是找到了这个小工具，

试用下，效果不错！推荐一下！

不过说起病毒真的有点太泛滥了。

认识一帮搞木马的朋友后，才知道这这世界太不安全了！

说不定此时此地我也正被监视着呢，呵呵。

好在本人没有做什么不良之事，处之泰然！

想给朋友推荐我这套安全之门，只可惜用起来有点太复杂并且太专业，搞不好她还什么都干不成了，反而不便！

EXE文件关联修复器

程序名称：EXE文件关联修复器
程序版本：Ver 2.0 20050529
程序作者：飘雪工作室
运行环境：Win界面
使用说明：用于修复Exe文件关联。方法一:
当计算机中了某些关联EXE文件的木马后，杀毒软件将木马清除后，将会出现系统所有的EXE文件无法打开的现象。此时下载本程序，将后缀名改为COM,运行即可。方法二:
手工修改方法:
打开注册表编辑器把HKEY_CLASSES_ROOT\exefile\shell\open\command里的叫默认值的键值改为”%1″ %*
把系统目录下regedit.exe文件复制出来,将后缀名改成.com,运行就可以使用注册表了.方法三:
如果使用此程序还无法解决,请试用以下方法:
进入控制面版的文件夹选项,选择文件类型,再添加文件类型
.exe,再选高级,选择打开方式为 应用程序 注意可选择打开方式太多,要慢慢地找才能找到应用程序方法四:
开始>运行 输入assoc .exe=exefile 按回车

注：本文已发表在《黑客X档案》第7期杂志上，与原文有少许出入，后由作者提交到邪恶八进制论坛，如需转载请保留此信息！

自从病毒与杀毒软件的诞生以来，他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献，当然黑客们也毫不逊色，也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
古人云“知己知彼，方能百战不殆！”
今天，我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀，就要先知道是怎么杀的，还不太懂的朋友赶紧偷偷借机恶补吧。

1.杀毒原理
通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。
搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。
当特征码定义出来之后，就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。
由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类
免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……
我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。
一、主动免杀
1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。
2.修改输入表：查找此文件的输入表函数名（API Name），并将其移位。
3.打乱文件结构：利用跳转（JMP），打乱文件原有结构。
4.修改入口点：将文件的入口点加1。
5.修改PE段：将PE段移动到空白位置
二、被动免杀
1.修改特征码：用一些工具找出特征码并针对特征码做免杀处理。
2.用Vmprotect：使用Vmprotect加密区段。
3.文件加壳：可以用一些比较生僻的壳对木马文件进行保护。

有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！

3.实战演习
1.）修改字符特征
好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。
现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。
我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1），在弹出的对话框中选择[生成所有项目的快照]（如图2）。

然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。
木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe

注册表报告
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串: “复件 Server02″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串: “LegacyDriver”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串: “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串: “木马服务”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串: “灰鸽子服务端程序。远程监控管理.”
……

这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。
那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……
瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”
瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”
A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）
通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。
有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路彜n„、注入的进程名等动作，这些我们可以利用 WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。
下面我为大家演示一下怎样更改注入进程的名称。
首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的第一把武器“WinHex”！

WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”，打开后如图5所示。

然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。

结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。

就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。
但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。
下面，我们开始学习输入表函数（APIName）免杀！

2.）修改输入表

不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！
[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]
经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……
我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8），再点击导入表后面的[…]（如图9）。

在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。

保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。

有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？

那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。

有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既 000B9D5E），保存后即可成功，我们试一下看看（如图17）。

经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码
虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。
特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！
一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！
这一小节我就先介绍一下MyCCL的用法……
我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。

下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。

好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……
但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。

由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置” 处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学坜n‹、十六进制、四字（如图23）。

然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。

最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……
然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！

关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。

1. 大小写替换（只适用于文件免杀）
适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。
操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。
原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。

2.用00填充
适 用 于：几乎任何情况，但成功率不是非常高。
操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。

然后我们有选择的一处处地用00填充（如图27）。

记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。
原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。

3.跳到空白区域
适 用 于：几乎任何情况，成功率比较高。
操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。

将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。

最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。

记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。

然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。

然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4.上下互换
适 用 于：几乎任何情况，成功率比较高。
操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将 0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。

5.ADD与SUB 互换
适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。
操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000
我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，
更改完毕后保存为EXE文件即可。
原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。

到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀方法。

4.）其他免杀方法
改文件头：
这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。

然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示：
004A2A73 0000 add byte ptr ds:[eax],al
004A2A75 0000 add byte ptr ds:[eax],al
004A2A77 55 push ebp

>004A2A78 8BEC mov ebp,esp
004A2A7A B9 04000000 mov ecx,4
004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50
004A2A84 0000 add byte ptr ds:[eax],al
004A2A86 0000 add byte ptr ds:[eax],al
004A2A88 0000 add byte ptr ds:[eax],al
上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

入口点加1：
打开PEditor后载入文件，将原来的入口点+1即可，例如我们的入口点为004A2A77，加1后应该是004A2A78（如图39），然后点击“应用更改”即可完成更改。

用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。

用Vmportect加密：
Vmportect是新一代的软件保护程序，利用虚拟机保护代码，可以对指定的部分区段进行加密，能让被保护的程序复杂化，最开始他被用于PcShare里的SYS文件免杀，效果值得称道！其实对于普通文件他照样发挥的比较出色！下面我们就用他来加密我们的那个存在特征码以0049FA7F开始的区段。打开Vmportect后载入程序，在“转储”选项卡下的任意地方单击由键，在弹出的菜单中选择“前往地址”（如图40）。

然后在弹出的对话框中填入0049FA7F，点击“是”按钮即可跳到相应位置，然后点击“添加地址”按钮（如图41）。

并选则是即可，最后点击“编辑”按钮即可对以0049FA7F开头的区段进行加密（如图42）。

移动PE段的位置：
关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。
我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16 进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是 000001EF，最后将这个PE段用0填充（如图44）。

最后将我们事先保存的PE段上移，但注意不要超过“This program must be run under Win32”这段内容。由于PE段的上移，其体积必然也就随之增大，而从我们现在PE段所处的00000080到000001EF，总共是368个字节，换成16进制为170，全部更改完毕后如图45所示。

针对瑞星：
先用OllyDbg载入文件，只要将其第一条机器码push ebp改为pop ebp即可躲过瑞星的内存杀毒。

加壳压缩：
加壳是菜鸟的专利，虽然操作简便，但是免杀效果与“报质期”都不尽人意，但是做完免杀后在加个压缩壳还是很有必要的。
加壳免杀的第一步就是要找到好壳，大家没事可以到看雪论坛逛逛，他那里经常有好壳出现。但关于加壳的一些操作步骤我在这里就不费笔墨了，大家下去自己一看就会，其实就是个使用软件的过程。

好了，到这里，我们对木马的免杀就做完了，总共用了七大类共计14种方法！恐怕一时理解起来比较困难。下面我就在用“苏式教育”的方法为各位读者规划一下本文所讲的知识，方便各位读者以后应用与查找。

免杀的操作顺序：
1.主动查找可能存在的特征码
2.用CCL等查找特征码，并将其更改
3.尽可能多的更改输入表函数
4.更改文件头
5.Vmportect区段加密
6.移动PE段的位置
7.加壳压缩

免杀分析：

一、主动查找可能的特征码
操作时注意：有关注册表、文件路径的信息最好只用大小写替换的方法，不要改成其他内容，那样容易出错。
优 点：可以防范未来将要出现的特征码，并且同时可以体验DIY的乐趣，顺便打造自己的“专用木马”。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：几乎100%，只要不改错地方，一般更改后的程序完全可以正常运行。

二、尽量多的更改输入表函数
操作时注意：将输入表函数移动到新位置时，函数名的第一个字母最好在本行开头，另外注意地址的填写规律，不要弄错。
优 点：可以防范未来将要出现的特征码，给特征码的定位带来干扰。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：只要操作上没问题，基本能保证90%以上！

三、用例如CCL等工具查找特征码并将特征码更改
操作时注意：此步骤最需要的就是耐心与细心！不能丢三落四，要及时做好备份，以防不测。
优 点：针对性非常强，免杀中最有效的方法之一。
不 足：只能针对一个杀毒软件进行免杀，无法针对多个杀毒软件进行作业，免杀文件的存活期短。另外，此方法也非常耗费时间。
成 功 率：理论上100%，主要看你的经验与编程、汇编的底子。不过其实只要有足够的经验与方法，成功率就异常可观了！

四、移动PE短位置
操作时注意：16近制的转换一定要细心，并且时刻不要忘了开头与结尾的位置。
优 点：可延长免杀期，时对付特征码在PE文件头部的必杀技！同时可以保护我们的免杀文件，其他人无法学走我们的免杀方法。
不 足：除加壳外，就无法在对木马文件做进一步加工了。
成 功 率：大约75%左右，不确定的因素太多……

五、更改文件头
操作时注意：删除部分信息时文件结构的变化。
优 点：比较节省时间，免杀效果也很明显，是免杀中的有效方法之一。
不 足：免杀时间不长。
成 功 率：大约80%左右。

到这里本文也快要结束了，不知道大家学会了多少……可以说这篇文章是我下了很大的力气与很大的决心写出来的，希望各位高手多多指点。

机器狗的生前身后
曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。

工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。

对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。

免疫补丁之争
现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身以运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。

解决之道
最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。

最新动向
好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。

官方英文站点：http://www.7-zip.org/
官方中文站点：http://www.7-zip.org/zh-cn/

以下内容为转贴：

选用7-Zip，不用WinRAR和Winzip的原因
① 7-Zip免费；使用winrar/winzip要付费（winrar ￥290）或盗版（法律风险和道德损失），参见《WinRAR vs WinZip vs 7-Zip》。
② 7-Zip更小巧。能小不大。
③ 不向别人发压缩包时，存为7z格式，压缩率更高。
④ 开源，我喜欢。
其中，1是决定性因素，2-4是加分因素。
来自网络、网友补充
MSI和chm：7-Zip还暗地里支持微软发明的MSI（微软安装程序文件）和CHM（微软帮助电子书）文件格式，尽管对MSI的支持并不好，但支持CHM可帮了笔者的大忙：省了一个CHM还原破解器！
密码更安全：网上有zip格式解密器，但还没有7z格式解密器。
文件管理：后来经过一番研究发现他独有双窗口功能（F9），结合上图中的自定义收藏夹（此功能WinRAR有），能爽快的实现以下功能：替代资源管理器成为文件拷贝、显示的管理器；支持排序、大小图标及列表方式等方式显示；显示文件图标、鼠标右键与资源管理器的显示无二，完美过渡（需要设置）；复制文件时有详细的进度、速度提示，远胜Expleror！关闭窗口后下次打开记忆当前路径功能；配合快捷键实现快速切换文件夹功能，可定义10个。
默认固实压缩：7-Zip压缩的时候默认采用“固实压缩包”：被压缩的文件之间的相似性也被考虑，即所有文件的内容作为一个整体来压缩。所以总体压缩率高，而压缩速度慢。压缩文件间的关联性也带来了缺点：即使解压一个很大的压缩包中的某一个文件，也需要首先对依赖的关联文件进行解压计算;此外,一旦7z文件中间某个字节发生意外改变，可能会造成大部分文件解压失败的。7-Zip也可以不用“固实压缩包”，不过这时压缩率就比不上RAR了。
如果是因为7zip速度慢而不用的话，可以考虑一下默认不用固态的，速度就上来了。
“7-Zip还不支持删除压缩包内文件”，无论WINRAR还是7-Zip，当使用固态时，都不支持。当使用非固态时，都支持。因为7-Zip右键压缩默认固态，winrar默认非固态，所以有你这样的结论。
有网友说，7-Zip在固实最好压缩大量文件如jpg格式时候会到60％前后停下很慢。
文件格式支持Unicode：7z(还有rar)相对于zip格式有一个一般人不太注意得到的优点：支持Unicode文件名。

后记：不知道是自己跟不上时代的急流了，还是别的什么原因，现在总觉得自己对新事物的接受能力不敏感了，反应总是很迟钝。换句话说，不爱当小白了，呵呵。
刚刚又看篇 压缩大战真相的文章，文章很老、很长，但对技术员来说却很感人，Free万岁！

第一步：修改messageform.js，查找到：

theForm.submit()

在其上添加：

CopyText();

然后再在文档末尾添加下面这段代码:

function CopyText() {
var newisCopy;
newisCopy=document.getElementById(“iscopy”).checked;
if(newisCopy==true){
//copyToClipboard(document.getElementById(id).value);
copyToClipboard(document.getElementById(“message”).value);
}

}

function copyToClipboard(txt) {
if(window.clipboardData) {
window.clipboardData.clearData();
window.clipboardData.setData(“Text”, txt);
} else if(navigator.userAgent.indexOf(“Opera”) != -1) {
window.location = txt;
} else if (window.netscape) {
try {
netscape.security.PrivilegeManager.enablePrivilege(“UniversalXPConnect”);
} catch (e) {
alert(“被浏览器拒绝！\n请在浏览器地址栏输入’about:config’并回车\n然后将’signed.applets.codebase_principal_support’设置为’true’”);
}
var clip = Components.classes['@mozilla.org/widget/clipboard;1'].createInstance(Components.interfaces.nsIClipboard);
if (!clip)
return;
var trans = Components.classes['@mozilla.org/widget/transferable;1'].createInstance(Components.interfaces.nsITransferable);
if (!trans)
return;
trans.addDataFlavor(‘text/unicode’);
var str = new Object();
var len = new Object();
var str = Components.classes["@mozilla.org/supports-string;1"].createInstance(Components.interfaces.nsISupportsString);
var copytext = txt;
str.data = copytext;
trans.setTransferData(“text/unicode”,str,copytext.length*2);
var clipid = Components.interfaces.nsIClipboard;
if (!clip)
return false;
clip.setData(trans,null,clipid.kGlobalClipboard);
}
}

第二步：修改article.asp，查找到：

<input name=”e_smilies” type=”checkbox” value=”true”<%if(objArticle.ubbFlags!=”html” && objArticle.ubbFlags.substr(4,1)==”1″) write(” checked=\”checked\”")%> /> <%=lang["e_smilies"]%>

修改成：

<input name=”e_smilies” type=”checkbox” value=”true”<%if(objArticle.ubbFlags!=”html” && objArticle.ubbFlags.substr(4,1)==”1″) write(” checked=\”checked\”")%> /> <%=lang["e_smilies"]%><br />
<input id=”iscopy” name=”iscopy” type=”checkbox” value=”true” checked=”checked” />自动复制

第三步：修改global.asp，查找到：

<input name=”comm_hidden” type=”checkbox” value=”true”<%if(bHidden) write(” checked=\”checked\”")%> /> <%=lang["comm_hidden"]%>

在其上面添加：

<input name=”iscopy” type=”checkbox” value=”true” checked=”checked” />自动复制<br />

然后再查找到：

<input type=”submit” name=”btnSubmit” value=” <%=lang["post_comment"]%> ” onclick=”this.disabled=true;document.inputform.submit();” class=”button” />

修改成：

<input type=”submit” name=”btnSubmit” value=” <%=lang["post_comment"]%> ” onclick=”this.disabled=true;CopyText();document.inputform.submit();” class=”button” />

第一步：修改messageform.js，查找到：

theForm.submit()

在其上添加：

saveToClipBoard();

然后再在文档末尾添加：

function saveToClipBoard(){
var isCopy, theForm;
isCopy=document.all.iscopy.checked;
theForm=document.inputform;
if(isCopy==true){
clipboardData.setData(“Text”,theForm.message.value);
}
}

第二步：修改article.asp，查找到：

<input name=”e_smilies” type=”checkbox” value=”true”<%if(objArticle.ubbFlags!=”html” && objArticle.ubbFlags.substr(4,1)==”1″) write(” checked=\”checked\”")%> /> <%=lang["e_smilies"]%>

修改成：

<input name=”e_smilies” type=”checkbox” value=”true”<%if(objArticle.ubbFlags!=”html” && objArticle.ubbFlags.substr(4,1)==”1″) write(” checked=\”checked\”")%> /> <%=lang["e_smilies"]%><br />
<input name=”iscopy” type=”checkbox” value=”true” checked=”checked” />自动复制

第三步：修改global.asp，查找到：

<input name=”comm_hidden” type=”checkbox” value=”true”<%if(bHidden) write(” checked=\”checked\”")%> /> <%=lang["comm_hidden"]%>

在其上面添加：

<input name=”iscopy” type=”checkbox” value=”true” checked=”checked” />自动复制<br />

然后再查找到：

<input type=”submit” name=”btnSubmit” value=” <%=lang["post_comment"]%> ” onclick=”this.disabled=true;document.inputform.submit();” class=”button” />

修改成：

<input type=”submit” name=”btnSubmit” value=” <%=lang["post_comment"]%> ” onclick=”this.disabled=true;saveToClipBoard();document.inputform.submit();” class=”button” />