在做DRAT3.7免杀的时候定位在了ntdll.dll上.这个DLL里面只有一个函数.功能主要是卸载服务端的功能..移位追杀.

我就在移位之后直接在DLL的后面加了个90 发现过了. 而且功能无损..

又试验了好几个函数..发现都能过..可能这个是秒杀卡巴的方法?

呵呵..不知道..有待继续研究..

定位的地方也太奇怪了吧.. 定位在了 wsock32.dll 的firstthunk上面...

我正好对这个修改又不了解 ...

明天继续研究...今天实在太累了..这个免杀真的有点麻烦了...诶..

现在表面没过..连主动也不能去动...诶..麻烦了..麻烦了...

(被黑客网站转疯了,自己BLOG刚刚弄好..原创的东西现在变转载咯...算了..吃点亏.就做个转载人吧..哇咔咔)

MOV-CMP(有时候可以替换)
MOV EAX,7-SUB EAX,7
ADD-ADC(有时候可以替换)
SUB-SBB(有时候可以替换)
TEST-AND
XOR-OR
OR-XOR
LEA-SUB
CMP-SUB

xor eax，eax
xor eax，eax
改成

诶。我到底是怎么了。…表哥说这样的性格好，可我为什么这么烦恼。从来没有开心过。没有真正懂我的朋友。

诶。现在的中学生啊。真没有探索精神，就拿电脑来说吧。在中国有这么多的中学生，有多少人只是在那玩游戏，逛论坛，灌水…除了这些好像这么大一个网络就没作什么是他们感兴趣的了。… 我听过好多同学说好羡慕我，黑网站，拿肉鸡等等，好像我就是一出生什么都会似的。我以前也不都和你们一样什么都不会的。只不过我看的多了，学的多了。懂的也就多了。…其实一切都是靠自己的。只要用心了。你也能行的。网络上流行一句话：有什么不懂了，百度一下。这真的是真言，我就是全靠百度这位好老师才能到现在这样的。说实话，我学了这么久，不懂