Dropbox 一个在线存储，同步，分享服务。免费空间为2G，如果想使用更大的空间，则需要付费了，不过对于一般个人用应该足够用了。

Dropbox 需要在电脑里安装一个程序，它会指定一个文件夹，文件夹中的任何改动会被自动同步到 Dropbox。同步过程在背景中进行，感觉不到它的存在。

Dropbox 支持 Windows, Mac, Linux。

很多人应该考虑 安全性，对此我也不太建议放置私人的东西，如果是纯公共资料，放在这里也是个选择。

不过因为空间是在国外的，所以同步的速度可不算理想。

测试图片：

客户端下载

http://dl.getdropbox.com/u/458157/net.tools/Dropbox%200.6.402.exe

虽然早就知道页面静态化的好处，但却一直总认为我这么一个小小的blog，用不用都无所谓的，不会有什么明显的差别的。但今天在合租伙伴 Steven 的建议下，还是研究试验了一下，效果远比我想像中要好的多，所以也简单写个东西介绍一下。

首先这要感谢我们租用的国外主机空间，给我们开放了许多的权限，比国内的空间商要强太多了。

方法：（只针对本主机内的wordpress合租伙伴，不保证在其它地方有效！）

1、登录到wordpress后台，“设置”→“永久链接”。

在“自定义结构”中填写永久链接的格式。

其中常用的写法有：

样式：http://www.yourwebsite.com/123.html
写法：/%post_id%.html
样式：http://www.yourwebsite.com/archives/123.html
写法：/archives/%post_id%.html
样式：http://www.yourwebsite.com/2007/09/16/post-name.html
写法：/%year%/%monthnum%/%day%/%postname%.html
样式：http://www.yourwebsite.com/2007/03/post-name.html
写法：/%year%/%monthnum%/%postname%.html
样式：http://www.yourwebsite.com/category/post-name.html
写法： /%category%/%postname%.html
样式：http://www.yourwebsite.com/archives/post-name.html
写法：/archive/%postname%.html
样式：http://www.yourwebsite.com/post-name.html
写法：/%postname%.html

说明：

%year% 日志发布的年，4位数字，如：2004
%monthnum% 日志发布的月份，2位数字，如：05
%day% 日志发布当月的第几天，2位数字，如：28
%hour% 日志发布时间中的“小时”，2位数字，如：15
%minute% 日志发布时间中的“分钟”，2位数字，如：43
%second% 日志发布时间中的“秒”，2位数字，如：33
%postname% 一串处理过的日志标题。如，日志标题为“This Is A Great Post!”，那么%postname%表示为“this-is-a-great-post”
%post_id% 日志的唯一编号
%category% 日志所在的分类
%author% 日志的作者

2、可根据喜好选择上面中的其一，保存修改！这时目录下会自动生成.htaccess文件，内容已写好，无需我们再手动修改添加。

3、设置完的永久链接 要等待一会才能生效。

另：今天在研究静态化的时候，先是碰到了 htaccess的问题，这才明白这个文件的强大作用，可惜自己已经没有心思再去研究其更多的用法，等有需要时再考虑下了。这是我找到的一篇文章中相关的一部分，转贴一下：

PHP转化为HTML静态页面
虽然不能保证把每个动态页面都转化为静态的HTML文件，但如果网站是驻留在Apache服务器上，则只需一个简单的小脚本就可以把大多数动态页面都转换成HTML文件。

1.确定需要转换成后缀为HTML的PHP文件
我们的目标是那些名下包含动态子页较多的网页。以“index.php?action=show&id=”为例，我们需要对 “index.php”之后的动态子页进行转换。 例如，如果网站里有一个名为“Arts and Crafts”的子目录，URL为“index.php?action=show&id=1”，其它子目录和这个URL只在最后的变量上不同，因此我们需要修改当index.php之后跟随变量时服务器对它的打开方式。

2.通知服务器在接受一个HTML页面的调用请求后打开一个PHP文件
我们需要在服务器上index.php所在的目录下放置一个.htaccess文本文件。.htaccess文件是Apache服务器上的一个目录配置设置文件，它提供了针对目录改变配置的方法，即在一特定的文档目录中放置一个包含一个或多个指令的文件(.htaccess文件)，来作用于此目录及其所有子目录。.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变主页文件名、禁止读取文件名、重新导向文件、增加MIME类别、禁止列目录下的文件等。

在需要针对目录改变服务器的配置，而对服务器系统没有root权限时，应该使用.htaccess文件。如果服务器管理员不愿意频繁修改配置，则可以允许用户通过.htaccess文件自己修改配置，尤其是ISP在一台机器上提供多个用户站点，而又希望用户可以自己改变配置的情况下，一般会开放部分.htaccess的功能给使用者自行设置。对于Vdeck用户来说，可能需要先创建一个文本文件，然后在管理面板将其更名为.htaccess。现在我们需要在服务器端指定一些变量。比方说，我需要把“?action=show&id=x”这个变量改成“action-x.html”，这样就能消除动态页面无法被搜索引擎检索的问题。

在开始创建服务器变量前，我们需要先在这个新建的.htaccess文件中创建一个Rewrite Engine (URL重写工具)。只需要在文件第一行写上
RewriteEngine On
这就等于告诉服务器我们要改变一些文件的处理方式。接下来的一行就要指定重写规则：
RewriteRule ^action-([0-9]+)\.html$ index.php?action=show&id=$1 [L,NC]
这个指令表明：只要接到URL中包含“action-0.html”到“action-9.html”的任意静态网页的页面调用请求，服务器将以“index.php?变量”地址返回给调用用户。

先别急着编辑下一条改写规则，我们有必要在更改实际的PHP页面之前先进行一下测试。我们可以对上面的”重写规则”进行测试。首先新开一个浏览器窗口，在地址栏中输入“action-1.html”，如果我们看到的页面显示为“index.php?action=show&id=1”就表明改写规则工作正常。

3.让搜索引擎看到我们的静态化页面
现在，我们需要让搜索引擎能够看到我们经过“改头换面”的新的网页地址。那么，是不是需要赶紧把网站再向搜索引擎提交一遍呢? 不用这么费劲，我们只需打开PHP文件编辑一下就行了。不过在此之前，应记得将要修改的每个脚本都做个备份，将其存放在硬盘上。然后需要确定创建更改链接地址的程序的不同地方。最好在前端而不要在后台进行更改。PHP文件将会从.htaccess文件中得到形如 “index.php?action=show&id=x”之类的信息。我们需要把这些动态生成的网页地址更改一下，并以静态化页面地址显示给用户和搜索引擎。即将所有URL中包含“index.php?action=show&id=”的部分替换为“action-”，并加上.html 后缀。

一旦发现待修改的区域，在更改后要随时检查有无错误。如果在脚本中有错误而没有发现，纠正起来是相当棘手的，尤其在对PHP编码不熟悉的情况下。

最初是找了一些免费的代理地址，但效果不理想，而且还要频于寻找不断更改的代理，又费时又累身。接着我投向了VPN的解决方案，几经周折后，从一次偶然的上韩服玩跑跑的论坛发现了这款客户端，正好的解决了我的烦恼，让我即能玩韩服又能快速访问后台。

关于代理和VPN的工作原理，我在这里就不解释了，只介绍这款客户端。

这款加速器的速度很快，但因为是免费的所以有些限制：

所有测试账户用满30分钟自动断开
所有测试账户断开后等待5分钟才能再次登陆
所有测试账户同一IP一天只能登陆三次

不过对于这30分钟的时间应该完全能够解决我的临时性问题。

这是测试帐号的地址：http://www.vpn123.com/freetest.php?rf=main

150G磁盘空间
1500Gb月流量限制
支持建立无限个网站
独立IP（非ssl带独立IP）
PHP+mysql数据库

因为最初只想做个人blog，开始并不想再买个独立IP什么的，但事实却这么的残酷，短短的两个月时间共享IP被封两次（当然原因不在我这），让 我不得不考虑后面的问题，从“时间的味道”那了解到了关于合租方面的方案，认真想了下，换回国内空间的选择还不如升级这个空间然后找寻合租伙伴的方案呢， 这样既稳定而且可以长期继续下去（毕竟国外这种空间更成熟，更稳定，而且最近发现到国外的网速有了明显的提高，算个极大的利好消息吧!），所以便也产生了 这个念头，不知道有没有其他喜欢玩 WordPress 或者博客的朋友可以来合租。
当然这个空间只能用于做博客，计划是寻找10个人左右，合租费用是每人50元，使用期限为一年。免费试用一个月。

每人开放1个FTP，1个MYSQL数据库，绑定1个域名，每个人可以用 PHPMyadmin 管理自己的数据库。
因为只能做博客，所以空间和流量也不限制了，因为正规的博客对空间的要求非常低，大家也都能稳定的使用。
但是绝对禁止发布任何的不良信息，国外空间对版权管的比较严格，所以博客最好为原创，绝对禁止采集。

虽然合租的钱不多，但还是建议使用淘宝交易，这样大家都放心。
现在已经启用了独立的IP，希望能找到不错的合租伙伴，一年以后我肯定会续费。
且使用期间主机若出现任何不稳定的问题我会第一时间联系官方解决。

国外主机的好处就是比国内的稳定，无论从速度还是稳定性上来说都要比国内空间好很多，而且解决问题迅速，服务态度好。缺点就是我们伟大的墙有时候会给我们带来一些困扰，且因全国各地的网络情况不同可能有的很快有的稍慢，请在加入之前联系我做各项测试。

加入合租之后非主机的问题恕不退款，如果使用期间主机发生故障导致长时间无法使用且无法解决我会全额退款。请朋友们在加入之前慎重考虑和测试。

有意向的朋友请加我的QQ联系：20830077，我专门建一个合租群（2456842）供大家交流！

空间信息探针：http://www.loobooo.com/env/iProber.php

房间里面一共有13件物品，找齐后就可以离开房间。

找到0-6件智商低下，绝对白痴。

找到9-10件算是正常。

找到11-12智商很高，属于智利超群。

找到13件并且走出这个房间的全世界不到4000人。。

www.zhangshiqi.com.cn

这是我找到的12件物品!

没办法只好架网再下载一个了，才发现居然已经升级到6.61版了，而且还是绿色版的，兴致勃勃的下载下来，设置好参数，却怎么找不到隐藏的选项了？

原来取消这个功能了！真是晕人！

我不是黑客，但也不喜欢右下键的图标有它在那放着，碍眼！自己干掉它！

原理其实挺简单的，只占用了我不到一个小时的中午时间就搞定了。整个世界清静了！

可惜我的blog空间不能下载文件，否则就传上来了。有需要的联系我吧！

终于换成功可以下载的空间了，提供本地下载：

http://www.a-boss.com/soft/CCProxy6.61_RobaY去图标绿色版.rar

需要说明一点的是：如果设置了自动隐藏功能，你将不能看到程序界面，需要更新ccproxy.ini中的autohide=0保存后即可！

再转一篇关于这个程序的一些功能介绍，个别功能在新版本下已经失效！

CCProxy高级功能介绍- -

代理服务器CCProxy开发了大量针对网络管理员的高级功能，下面的介绍只是关于高级功能的说明和对应的参数设置。 所有参数在修改保存后，都需要重新启动CCProxy。

怎样修改帐号管理所支持的帐号数

默认值是300。对应CCProxy.ini里的MaxUserCount。

怎样修改时间安排的支持数目

默认值是20。对应CCProxy.ini里的MaxTimeSchedule。

怎样修改网站过滤的支持数目

默认值是20。对应CCProxy.ini里的MaxWebFilter。

怎样修改CCProxy的同时在线支持数目

默认值是300。对应CCProxy.ini里的MaxConnection。

怎样拦截进出代理服务器的所有数据

本功能原来是方便用户反馈程序错误用的。在主界面上，按住Ctrl键，双击”0/0″。所有拦截的数据都保存到C:\log.dat。最多保存256K数据。此功能影响代理服务器速度，需即时关闭。对应CCProxy.ini里的BugTrace。

怎样在线检查CCProxy最新版本

此功能不会将您的电脑的任何信息发送给遥志软件，请放心使用。
双击主界面上的U字母。

怎样修改界面的连接数曲线(绿色)的显示高度和流量带宽曲线(黄色)显示高度?

在界面上单击鼠标右键,在弹出的窗口中修改度默认是300和256，如图。

怎样调出Windows任务管理器?

双击主界面上的0/0。

怎样知道所运行的CCProxy的发布时间

双击主界面上的时间数字。

怎样快速进到CCProxy安装目录

按着Ctrl键，双击主界面上的时间数字。

怎样知道今天的农历日期

按着Shift键，双击主界面上的时间数字。

怎样实现启动CCProxy时自动拨号和关闭CCProxy时自动断线

对应CCProxy.ini里的DialWhenStartup和DisconnectWhenShutdown。将值设成1时，表示打开这个功能。在使用此功能前，要设置好代理服务器的拨号选项。

怎样让服务器拨号闲置时自动断网并关机

此功能由黑龙江天衣有缝提出。首先要设置好拨号闲置自动断开功能，然后将CCProxy.ini里的
ShutDownWhenIdle=1。

怎样实现定时关机

CCProxy.ini
[ShutDown]
Enable=1
Time=20:00
表示20:00关机

CCProxy.ini
[ShutDown]
Enable=1
Time=05:05
表示05:05关机

此功能最好在CCProxy NT服务方式下运行，这样CCProxy可以获得更高的权限来关闭电脑

怎样修改网站过滤服务器返回的字符串

CCProxy.ini里的
WebSiteForbidden对应站点过滤服务器返回的字符串。注意，要保留%s。WebContentForbidden对应内容过滤服务器返回的字符串。
如果WebSiteForbidden里填写的是一个文件绝对路径名，那么服务器会读取该文件来作为过滤网站返回信息。如：WebSiteForbidden=c:\alert.htm。
如果WebContentForbidden里填写的是一个文件绝对路径名，那么服务器会读取该文件来作为内容过滤返回信息。如：WebSiteForbidden=c:\alert.htm。

怎样修改网页身份认证里的字符串

CCProxy.ini里的
WebAuthTitle对应认证对话框里的字符串“CCProxy Authorization”。AuthorityFailed对应认证失败后服务器返回的字符串。

怎样实现验证失败时显示指定的htm文件?

CCProxy.ini里的
AuthorityFailed里输入htm文件的绝对地址。例如:AuthorityFailed=f:\1.htm,表示显示F盘根目录下的1.htm文件。

怎样实现帐号排序?

“帐号管理”→ 点击”用户名”、”IP地址”、”MAC地址”、”连接数”任一字段名即可按所选字段名排序，连续点击则分别按”降序”、”升序”分别排列。如图。确定后，将按照排序结果保存帐号。

怎样实现远程拨号?

1) 在服务器上手工建立一个拨号连接，并且测试一下这个拨号连接是否有效。
2) “设置”-> 选择”远程拨号”。
3) “设置”->”高级”->”拨号”：在”拨号列表”中选择 1)中建立的拨号连接。在”拨号用户名”、”拨号密码”里填上正确的上网帐号信息。
4) 在帐号管理中编辑或新增用户，并选择允许该用户”远程拨号”。
5) 客户端的浏览器首先要设置好HTTP代理服务。然后在浏览器中输入 http://ccproxy.connect 就可以拨号了，如果客户端使用 http://ccproxy.connect.电话号码.用户名.密码，则用指定的电话号码和用户帐号信息拨号。
6) 断开拨号网络连接则在浏览器中输入 http://ccproxy.disconnect

怎样实现通过客户端使服务器自动拨号?

1)”设置”-> 选择”远程拨号”。
2)”设置”->”高级”->”拨号”-> 选择”允许自动拨号”，然后在相应代理协议前打勾。
3)”帐号”-> 编辑或新建帐号 -> 选择”远程拨号”。
这样，只要被允许的客户端使用被允许的协议（HTTP/FTP/TELNET等）就可以实现服务器自动拨号功能。

怎样实现隐藏任务栏图标 ?
编辑ccproxy.ini，在 [System] 下增加一行Allhide=1。去掉这一行则显示图标。
或：”设置”->”高级”->”其他”：选择”隐藏所有”。
若要重新显示主界面，只需再运行一次CCProxy即可（CCProxy自动判断，不会在同一个目录下启动多个进程）。

怎样使用热键激活界面?

编辑CCProxy目录下的CCProxy.ini，把EnableHotKey=0改为1，然后保存文件并重启CCProxy软件。以后当软件隐藏后，只要按下”CTRL+ALT+C”，界面会重新显示。详细设置>>

怎样实现管理员密码控制?

“设置”->”高级”->”其他”：选择”密码保护”，然后在相应的密码框中输入密码。这样每次修改设置、增加或编辑帐号、退出程序都必须输入正确密码方可。
若需要每次启动时必须输入密码则再选择”启动时需要密码”。建议一般情况下不选择。

怎样让客户端显示广告条?

这是一个相当有趣的功能，最初由上海复旦大学Hyne提出。
默认状态是关闭。对应CCProxy.ini里的AddMessage。AddMessage=1，表示开放广告条功能。同时在CCProxy运行目录下写一个addmessage.htm文件(小于4096字节)，当然这个文件的编写很要技巧。
提供两个非常经典的例子：ads1.zip(Hyne提供) ads2.zip(testa提供) 欢迎提供更多好的例子。
另外,可以在界面中按住shift双击0/0,在弹出的对话框中选择,如图。

怎样往客户端发送信息?

客户端如果是Win98，要求已经运行了windows目录下的WINPOPUP.EXE。如果是Win2000/NT，则系统已经自带了消息接收功能。选中需要发信息的帐号点击右键，在第一个编辑框里输入接收者的机器名，第二个编辑框里输入要发送的文字，点击确定就可以发送信息到客户端了。如果上面的对话框里输入的是”*”号，可以发送到局域网里的任何一台机器。

怎样实时观测客户端访问内容(网站)以及客户端连接数和流量?

双击主界面绿色网格即可，并且双击左上角的”当前连接信息”左边那个图标，可以切换观察状态。

怎样实现流量统计和计费?

1) 在CCProxy的”设置”—”高级”—”日志”—”运行流量统计”前面打勾，并设定”流量统计间隔时间”(默认为10分钟)，这样系统会在log文件夹中生成一个文件(如data20030613.txt)，并每隔10分钟系统在该文件中写入一次流量统计数据;
2) 点击”流量统计”，即可打开流量统计文件，观察到流量记录(前面的为流进数据,后面的为流出数据);
3) 下载CCReport插件，可以根据统计出的流量，计算出每用户的使用费用。

怎样实现端口映射?

在”设置”页面点击”端口映射”后面的E按钮,进行相应的设置即可：

怎样设置二级代理?

“设置”->”高级”->”二级代理”：选择”启用二级代理”，在代理地址中输入上级代理服务器IP或计算机名称，选择代理协议HTTP/HTTPS/SOCKS，再输入对应的端口。若需要验证密码，则选择”需要验证”，在”用户名”、”密码”框中分别输入指定信息。需要注意的是：
1) 若上级提供了SOCKS5服务，则可以为下级提供包括HTTP/FTP/GOPHER/SOCKS/RTSP/MMS/TELNET等协议在内的几乎任何服务，本程序可以全部自动转换；若上级提供了HTTPS服务，则绝大部分服务也可为下级提供，除了QQ/PP等UDP协议；若上级只提供了HTTP服务，则下级只能使用HTTP/FTP/GOPHER/SOCKS/TELNET等一般协议，RTSP/MMS等协议无法转换。 2) 6.0版支持不同的协议可以设置不同的二级代理或者不使用二级代理，即每一个协议都可以使用不同的上级代理和不同的协议或者部分协议使用上级代理，而部分协议可以不使用上级代理，也可以全部使用同一个上级代理和协议。

怎样同时运行多个ccproxy进程?

编辑ccproxy.ini，修改EnableMultiRun=1即可，但须安装在不同目录，使用不同端口。

怎样访问带域验证的网页?

可以只设置socks代理(如图)来实现访问，CCProxy要开放DNS服务和SOCKS4服务，客户端的DNS里要设置服务器的IP地址。

怎样结合杀毒软件检查所有通过代理发送和接收的邮件病毒?

编辑ccproxy.ini，修改AntiVirusGate=1表示启用邮件杀毒。目前我们测试过的软件有瑞星2003版和Norton 2003版，只要服务器上安装了这样的杀毒软件，就可以实现代理服务器邮件杀毒功能。

如何控制流媒体视频带宽?

编辑ccproxy.ini，修改[MMS]项：EnableRecord=1

如何屏蔽端口和屏蔽IP?

编辑ccproxy.ini，修改[DestDisable]项：
PortDisabled=1表示启用端口屏蔽，Port=25;110;80表示屏蔽这些端口;
IPDisabled=1表示启用IP屏蔽，IP=0.0.0.0-202.0.0.0表示屏蔽这个范围内的IP

用户通过web方式发送邮件时如何禁止发送附件?

在”内容过滤”里加入”;; filename=”。(注意: 在分号后面有一空格，如果有其余过滤的内容如chat等必须放在第一位，如图)

怎样在客户端Ping互联网地址?

1）首先确认CCProxy的Telnet代理已经打开。
2）假设代理服务器地址是192.168.0.1，在客户端上输入命令行 telnet 192.168.0.1，然后回车。
3）在提示符CCProxy Telnet>后，输入你要ping的地址，如ping sina.com.cn ，然后回车。

在远程终端服务(Terminal Services)下运行CCProxy需要注意的事项?

如果在远程终端服务(Terminal Services)下运行CCProxy，而且以NT服务方式运行，需要设置CCProxy.ini里的一个参数：TerminalServices=1。显示CCProxy界面只需要再次运行CCProxy就可以了。

怎样在代理服务器CCProxy里巧妙的利用Auto Proxy功能?

在代理服务器CCProxy里巧妙的利用Auto Proxy功能,请看详细设置

C源代码：客户端怎样通过proxy进行连接，支持https, socks5代理?

客户端通过proxy进行连接，支持https, socks5代理的C源代码请看

如何突破屏蔽代理访问的网站?

有些网站屏蔽代理访问,可以通过编辑CCProxy目录下的CCProxy.ini来突破屏蔽,把EnableProxyConnection=0改为1，然后保存文件并重启CCProxy软件。详细设置>>

如何绑定服务器IP地址?

编辑CCProxy目录下CCProxy.ini文件,把ServerBindIP=0.0.0.0改为服务器接入线路的IP地址,然后保存文件并重启CCP roxy软件。当服务器有多条线路接入时,管理员可以通过此功能合理分配带宽资源。详细设置>>

如何让目标网站无法得知你是从哪个网站进入该网站?

编辑CCProxy目录下CCProxy.ini文件,把EnableReferer=0改为1,然后保存文件并重启CCProxy软件。此功能便于保密,让目标网站无法得知你是从哪个网站进入该网站的。详细设置>>

如何关闭gzip,加强广告条功能的应用范围？

编辑CCProxy目录下CCProxy.ini文件,把EnableGzip的值改为0,然后保存文件并重启CCProxy软件,此功能可以大大加强广告条功能的应用范围。详细设置>>

注：本文已发表在《黑客X档案》第7期杂志上，与原文有少许出入，后由作者提交到邪恶八进制论坛，如需转载请保留此信息！

自从病毒与杀毒软件的诞生以来，他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献，当然黑客们也毫不逊色，也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
古人云“知己知彼，方能百战不殆！”
今天，我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀，就要先知道是怎么杀的，还不太懂的朋友赶紧偷偷借机恶补吧。

1.杀毒原理
通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。
搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。
当特征码定义出来之后，就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。
由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类
免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……
我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。
一、主动免杀
1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。
2.修改输入表：查找此文件的输入表函数名（API Name），并将其移位。
3.打乱文件结构：利用跳转（JMP），打乱文件原有结构。
4.修改入口点：将文件的入口点加1。
5.修改PE段：将PE段移动到空白位置
二、被动免杀
1.修改特征码：用一些工具找出特征码并针对特征码做免杀处理。
2.用Vmprotect：使用Vmprotect加密区段。
3.文件加壳：可以用一些比较生僻的壳对木马文件进行保护。

有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！

3.实战演习
1.）修改字符特征
好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。
现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。
我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1），在弹出的对话框中选择[生成所有项目的快照]（如图2）。

然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。
木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe

注册表报告
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串: “复件 Server02″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串: “LegacyDriver”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串: “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串: “木马服务”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串: “灰鸽子服务端程序。远程监控管理.”
……

这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。
那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……
瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”
瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”
A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）
通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。
有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路彜n„、注入的进程名等动作，这些我们可以利用 WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。
下面我为大家演示一下怎样更改注入进程的名称。
首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的第一把武器“WinHex”！

WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”，打开后如图5所示。

然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。

结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。

就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。
但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。
下面，我们开始学习输入表函数（APIName）免杀！

2.）修改输入表

不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！
[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]
经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……
我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8），再点击导入表后面的[…]（如图9）。

在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。

保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。

有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？

那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。

有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既 000B9D5E），保存后即可成功，我们试一下看看（如图17）。

经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码
虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。
特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！
一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！
这一小节我就先介绍一下MyCCL的用法……
我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。

下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。

好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……
但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。

由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置” 处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学坜n‹、十六进制、四字（如图23）。

然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。

最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……
然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！

关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。

1. 大小写替换（只适用于文件免杀）
适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。
操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。
原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。

2.用00填充
适 用 于：几乎任何情况，但成功率不是非常高。
操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。

然后我们有选择的一处处地用00填充（如图27）。

记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。
原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。

3.跳到空白区域
适 用 于：几乎任何情况，成功率比较高。
操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。

将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。

最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。

记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。

然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。

然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4.上下互换
适 用 于：几乎任何情况，成功率比较高。
操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将 0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。

5.ADD与SUB 互换
适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。
操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000
我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，
更改完毕后保存为EXE文件即可。
原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。

到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀方法。

4.）其他免杀方法
改文件头：
这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。

然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示：
004A2A73 0000 add byte ptr ds:[eax],al
004A2A75 0000 add byte ptr ds:[eax],al
004A2A77 55 push ebp

>004A2A78 8BEC mov ebp,esp
004A2A7A B9 04000000 mov ecx,4
004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50
004A2A84 0000 add byte ptr ds:[eax],al
004A2A86 0000 add byte ptr ds:[eax],al
004A2A88 0000 add byte ptr ds:[eax],al
上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

入口点加1：
打开PEditor后载入文件，将原来的入口点+1即可，例如我们的入口点为004A2A77，加1后应该是004A2A78（如图39），然后点击“应用更改”即可完成更改。

用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。

用Vmportect加密：
Vmportect是新一代的软件保护程序，利用虚拟机保护代码，可以对指定的部分区段进行加密，能让被保护的程序复杂化，最开始他被用于PcShare里的SYS文件免杀，效果值得称道！其实对于普通文件他照样发挥的比较出色！下面我们就用他来加密我们的那个存在特征码以0049FA7F开始的区段。打开Vmportect后载入程序，在“转储”选项卡下的任意地方单击由键，在弹出的菜单中选择“前往地址”（如图40）。

然后在弹出的对话框中填入0049FA7F，点击“是”按钮即可跳到相应位置，然后点击“添加地址”按钮（如图41）。

并选则是即可，最后点击“编辑”按钮即可对以0049FA7F开头的区段进行加密（如图42）。

移动PE段的位置：
关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。
我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16 进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是 000001EF，最后将这个PE段用0填充（如图44）。

最后将我们事先保存的PE段上移，但注意不要超过“This program must be run under Win32”这段内容。由于PE段的上移，其体积必然也就随之增大，而从我们现在PE段所处的00000080到000001EF，总共是368个字节，换成16进制为170，全部更改完毕后如图45所示。

针对瑞星：
先用OllyDbg载入文件，只要将其第一条机器码push ebp改为pop ebp即可躲过瑞星的内存杀毒。

加壳压缩：
加壳是菜鸟的专利，虽然操作简便，但是免杀效果与“报质期”都不尽人意，但是做完免杀后在加个压缩壳还是很有必要的。
加壳免杀的第一步就是要找到好壳，大家没事可以到看雪论坛逛逛，他那里经常有好壳出现。但关于加壳的一些操作步骤我在这里就不费笔墨了，大家下去自己一看就会，其实就是个使用软件的过程。

好了，到这里，我们对木马的免杀就做完了，总共用了七大类共计14种方法！恐怕一时理解起来比较困难。下面我就在用“苏式教育”的方法为各位读者规划一下本文所讲的知识，方便各位读者以后应用与查找。

免杀的操作顺序：
1.主动查找可能存在的特征码
2.用CCL等查找特征码，并将其更改
3.尽可能多的更改输入表函数
4.更改文件头
5.Vmportect区段加密
6.移动PE段的位置
7.加壳压缩

免杀分析：

一、主动查找可能的特征码
操作时注意：有关注册表、文件路径的信息最好只用大小写替换的方法，不要改成其他内容，那样容易出错。
优 点：可以防范未来将要出现的特征码，并且同时可以体验DIY的乐趣，顺便打造自己的“专用木马”。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：几乎100%，只要不改错地方，一般更改后的程序完全可以正常运行。

二、尽量多的更改输入表函数
操作时注意：将输入表函数移动到新位置时，函数名的第一个字母最好在本行开头，另外注意地址的填写规律，不要弄错。
优 点：可以防范未来将要出现的特征码，给特征码的定位带来干扰。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：只要操作上没问题，基本能保证90%以上！

三、用例如CCL等工具查找特征码并将特征码更改
操作时注意：此步骤最需要的就是耐心与细心！不能丢三落四，要及时做好备份，以防不测。
优 点：针对性非常强，免杀中最有效的方法之一。
不 足：只能针对一个杀毒软件进行免杀，无法针对多个杀毒软件进行作业，免杀文件的存活期短。另外，此方法也非常耗费时间。
成 功 率：理论上100%，主要看你的经验与编程、汇编的底子。不过其实只要有足够的经验与方法，成功率就异常可观了！

四、移动PE短位置
操作时注意：16近制的转换一定要细心，并且时刻不要忘了开头与结尾的位置。
优 点：可延长免杀期，时对付特征码在PE文件头部的必杀技！同时可以保护我们的免杀文件，其他人无法学走我们的免杀方法。
不 足：除加壳外，就无法在对木马文件做进一步加工了。
成 功 率：大约75%左右，不确定的因素太多……

五、更改文件头
操作时注意：删除部分信息时文件结构的变化。
优 点：比较节省时间，免杀效果也很明显，是免杀中的有效方法之一。
不 足：免杀时间不长。
成 功 率：大约80%左右。

到这里本文也快要结束了，不知道大家学会了多少……可以说这篇文章是我下了很大的力气与很大的决心写出来的，希望各位高手多多指点。

我的加强版是个二吊子，一直在等行货的中文版ROM，而论坛现在虽然有了，但却只对ＶＩＰ开放，只能再等一段时间再用了。期待一个正式的ＲＯＭ，然后自己定制一个自己的ＲＯＭ，就像当初玩ＳＸ１时的刷机一样。乐趣无穷呀！

下载地址