首先定位特征。我们这次选用的是MYCLL复合特征码定位器 V1.1来进行测试。选用MYCLL复合特征码定位器 V1.1最主要的原因是这款软件在网络上随处可以下，使用范围广。安装后，我们打开MYCLL复合特征码定位器 V1.1的界面，如图15

 

图15

    用MYCLL打开要定位的刚生成的鸽子服务端，然后在分块那写100，点生成，会在MYCLL的目录下的OUTPUT目录下生成100个文件，使用诺顿扫描这个文件夹，如下图16
 

图16

    之后自动删除掉查出的文件，扫描后点二次处理，会继续生成，继续扫描，操作都是重复的，最后当诺顿查不出时会在右面有个特征区间，在上面右键继续定位，如图17

图17

    点复合定位此处特征，直到把单位长度缩小到2为止。得到的结果如
    特征码 物理地址/物理长度 如下:
    [特征] 000A15DE_00000003
    这个的单位长度是3，也可以的，接着用OC转换下地址，OC如下图18
 

图18

    把000A15DE转换成004A21DE，之后用OD载入服务端，跳转到004A21DE，如下的代码：
    004A21D8      D6            db      D6
    004A21D9      D0            db      D0
    004A21DA      BD            db      BD
    004A21DB   .  B1 D3         mov     cl, 0D3
    004A21DD   .  C3            retn
    004A21DE      BB A7A3A100   mov     ebx, 0A1A3A7
    004A21E3      0000          add     byte ptr [eax], al
    004A21E5      00            db      00
    004A21E6      00            db      00
    004A21E7      00            db      00
    红色部分为004A21DE处的代码，我们把这个向下移动一下，下面全部是空白数据，原则上没什么影响，移动后如

    004A21D8      D6            db      D6
    004A21D9      D0            db      D0
    004A21DA      BD            db      BD
    004A21DB   .  B1 D3         mov     cl, 0D3
    004A21DD   .  C3            retn
    004A21DE      90            nop
    004A21DF      BB A7A3A100   mov     ebx, 0A1A3A7
    004A21E4      0000          add     byte ptr [eax], al
    004A21E6      00            db      00
    004A21E7      00            db      00
    红色部分为修改后的，保存文件，用诺顿扫描，结果如图19
 

图19

    寒啊，被其他杀软杀烂了黑防鸽子，在我们定位的过程可以看出，只取了一处特征码，经过我测试修改并无难度，直接NOP掉都是OK 的，测试保存后的文件，如图20

图20

    看到鸽子成功上线了。

    总结
    到这里，笔者对诺顿2008的功能适用暂告结束。本次笔者在适用过程中使用的零碎手法，各位网友若有兴趣也可以按照上述方法进行测试一下。坦白地讲，笔者的手法很难入高手的眼。即便如此，诺顿2008此次表现真的出乎我的意外，同时也让我很失望。作为国际知名杀毒软件供应商，能否在杀毒机制上进一步提升自我呢？

    当然，笔者不否认仅仅用“鸽子”做试用体验，其结果只是反映出性能的一个方面。然而在“鸽子”的发源地，其普遍性毋庸置疑，连最基本的木马变种都不能抵御的话，其表现与其国际大厂的身份实难相符。