先看下我的方案：我们要处理的文件一共有5个，分别

→HOOK.dll④

H_Client.exe Setup.exe → MAINDLL

① ② ③ → KEY.dll⑤

-----------------------------------------------------------------

我再来给大家讲讲我怎样分别对待这些文件：

H_Client.exe 用 木马控制端免杀器.rar ，既可以免杀，又自己指定一个密码，避免木马被他人

盗用。

HOOK.dll 和 KEY.dll 体积小 用变形Morphine2.7加壳就可以免杀，方便实用。

MAINDLL 有800多kb 要是偷懒也用 Morphine2.7 加壳免杀的话，做出来的服务端会有900多kb，

所以我用压缩效果比较好的北斗星.exe先加壳，再给它加道花指令，ok。

Setup.exe 就好办了，它的体积也不大，我们可以有很多选择，用变形Morphine2.7加壳和

用北斗星.exe先加壳，再给它加道花指令来免杀效果都是非常好的。不过昨天强哥给了我一个好壳

我就先试试效果吧，嘿嘿！~F.S.T驱动壳.exe 闪亮登场。

----------------------------------------------------------------

下面我们开始，先把 Setup.exe 里面的 3个dll都导出来。MAINDLL 导出来了，命名为1.dll

里面的2个小dll也导出来了， 分别为key.dll 和 hook.dll 。

来先把HOOK.dll 和 KEY.dll 用变形Morphine2.7加壳免杀。加壳完成，用杀毒软件

杀一下看看效果怎么样。大家注意我的杀毒软件都是正版的，而且都是最新的病毒库，嘿嘿。

先用kv 试下吧，ok 了。瑞星通过，昏 让金山k 掉了，记得昨天还不杀的。

不过也没有什么啦，我们只要再给它加道花指令就可以免杀了，卡巴也通过了。

看来是 4个 过3个，呵呵！~

好了，我们再把 2个小dll导入MAINDLL.dll，给它免杀，我用压缩效果比较好的北斗星.exe先加壳，再给它加道花指令，ok。

看看现在杀不杀，加壳以后是2杀，2不杀，有意思啊， kv 和卡巴 杀，瑞星和金山不杀。

杀毒软件真的是各有所长，各有所好。 开始给加壳后的MAINDLL.dll 加花指令。

哦，对了。我还要给大家演示功能较多加花指令的方法，大家更我来。这里需要一个

增加区段的工具 zeroadd.exe ，hao|sha 是我自己定义的区段名，100 是区段的大小。

好了，添加成功，我们来看一下，多了一个 hao|sha2的区段吧。等下我们就到这里写

花指令。

花指令：

VC++ 5.0

PUSH EBP

MOV EBP,ESP

PUSH -1

push 515448

PUSH 6021A8

MOV EAX,DWORD PTR FS:[0]

PUSH EAX

MOV DWORD PTR FS:[0],ESP

ADD ESP,-6C

PUSH EBX

PUSH ESI

PUSH EDI

jmp 00408C0F

00950647 入口地址

再找我们的 hao|sha2的地址，点一下m ，hao|sha2的地址是009b6000，我们就到 009B6030 写花指令吧。

009B6030 新入口地址

接下来要把 009B6030 改为新入口地址

原 000E0647 基地 00400000

现在我们要算一下，这个新入口要怎么写 没写16进

00950647 - 00400000 - 000E0647 = 470000 我们要的差

009B6030 - 00400000- 470000 = 146030 我一直是这样算的，也不知道

科学不，呵呵，反正这个没有人教。 试下看可以不 ，地址是改对了，好象

花指令没有写好，我们来检查一下我昏， 少写一个push ebp，再来。

Microsoft Visual C++ ，好了，修改成功，我来杀一下。

呵呵 过了3个，就让卡巴给杀了， 再不加几道话指令就可以免杀了，

我们不耽误时间了来弄一下，exe。先把 MAINDLL.dll 导回Setup.exe 去，再免杀。这个加3层壳

好象不行，我们换个。我*，这个壳果然是强壳，4个杀毒软件一个都不杀它，呵呵。大家看清楚，嘿嘿。