这是我刚生成的服务端，无壳的，查杀一下吧，卡巴是最新的，瑞星是28号。。。。。。。。。。都被杀，现在我们
先用“改头”的方法。

           0040BEB4 > $  55            PUSH EBP
           0040BEB5   .  8BEC          MOV EBP,ESP
           0040BEB7   .  B9 04000000   MOV ECX,4

跳回点：   0040BEBB     

新入口点： 0040C1C9      00            DB 00

接着用PE改下入口点，后四位就可以拉。瑞星杀了，卡巴过了。试下能否运行，这个很重要。能运行

好了，现在我们来定位下瑞星文件特征码。我的机慢死了。浪费大家的时间。。暂停了。

等下杀毒由于时间关系，我们先暂停一下。咱们继续，，，， 好吧，定位出来了，
    0001    00000000    00000040    00000040   
    0002    00000100    00000040    00000140   
    0003    00000200    00000020    00000220   
    0004    00007B40    00000020    00007B60   
    0005    000086A0    00000020    000086C0   

分析一下，1，2，3段应该都是头文件，我们选第五段来修改，先用OC把文件地址转换为
内存地址000086A0 ——》 004086A0，我们用OD打开看一下。000086A0到000086C0
004086A0   ?  65:6C         INS BYTE PTR ES:[EDI],DX                 ;  I/O 命令
004086A2   ?  3332          XOR ESI,DWORD PTR DS:[EDX]
004086A4   ?  2E:           PREFIX CS:                               ;  多余的前缀
004086A5   ?  64:6C         INS BYTE PTR ES:[EDI],DX                 ;  I/O 命令
004086A7   ?  6C            INS BYTE PTR ES:[EDI],DX                 ;  I/O 命令
004086A8   ?  0000          ADD BYTE PTR DS:[EAX],AL
004086AA      00            DB 00
004086AB      00            DB 00
004086AC   .  43 72 65 61 7>ASCII "CreateToolhelp32"
004086BC   .  53 6E 61 70 7>ASCII "Snapshot",0

哈哈，大家看到了吧，有一段ASCII，我们试下将他nop掉。先试下特征码是不是在这段。
保存，查杀一下，哈哈。杀不掉，好吧，我们将他替换大小写。。
重新加载c.exe是不行的，我们要把他改下名字。
再用瑞星杀下，免杀了吧，哈哈

做到这里，本来想定位下内存特征码，但是结果用OD加载一下，居然连瑞星的内存也过了，想哭，慢。其实我有很多教程想做出来
，不过电脑就是慢。好了。哪位好心人借钱我买台电脑，五。。。。。。
嘻嘻，有点运气。
是吧，最后，看下能否运行。。。。。。。。。。。OK，没问题。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
好吧，教程就到这里，我论坛ID是xinlili11;QQ是31627762
这里打个广告，就是会火拼斗地主游戏B场作弊的，两个号坐在同一房间的人联系我一下，
我以宝石，RMB或技术交换。。不过最好是免费拉，嘻嘻。。。。88