国际惯例，先来段广告哈。
用录象专家老出问题，就用这个录制了，桌面是空的~
大家好！我是夜精灵，论坛ID：tfnvwfnh,今天在论坛有人让我帮忙做免杀
做到一半，把我郁闷的，哎，不想多说。
这就是做这次做教程的原因，感冒了，不好意思，这个教程就无声吧。
我的QQ：235101775 欢迎大家交流
机器配置不好，大家可以快进来看，字我就先打好了。。

用到的工具：MYCCL OD C32 OC
特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。

方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法

先来配置个，瑞星和卡巴病毒库都最新的，都被杀，我们先来过瑞星

机器慢，查毒的时候我就暂停了，不浪费大家时间
今天论坛有人问我OC是什么，是文件偏移量换算器，用来计算出特征码在OD中的地址的
我们先来分析瑞星文件特征。 3个出寨，看看这
004957FF   .  5A            POP EDX
00495800   .  59            POP ECX
我们把这两行换个位置就可以
瑞星表面已过，我们来定位内存
定位内存的方法是加后缀，内存查出来手动删除，看一次操作
生成好了以后在目录点右键，CCL插件就出来了
示范一次，接下来查杀的时候我就暂停了。。
晕死，点错了，应该查内存的
出错了#24  忘载入内存了   哎，最近老三心二意的

一般来说瑞星内存特征码都是字符串，技术原因，呵呵
修改大小写就可以了，但是也有特殊情况，如果不是字符串就用上面6种常用方法
好了，我们先用C32看看特征位置
是字符串，我们修改大小写就可以  Explorer  eXPLORER
瑞星的就全过了，我们来测试下能不能上线
可以上线，我们来查下瑞星内存
感觉上兴没鸽子好用。。。连接速度慢，没声音，上线速度慢
内存过了，好了过卡巴
卡巴老出问题

先分析特征码，这个也可以用互换的方法

0049A9BD  |.  6A 06         PUSH 6
0049A9BF  |.  68 48E04900   PUSH 11.0049E048
好了，关于特征码修改就是这样，我们测试下
好了，今天的教程就到这，谢谢大家观看。我的QQ：235101775