最终定位结果如下：
    >>复合特征码定位结果<<            

    文件名:C:\Documents and Settings\dd\桌面\Server.exe
    ------------------------------------------------
    特征码 物理地址/物理长度 如下:
    [特征] 000A15DE_00000002

    特征码分布示意图:
    [--------------------------------------------------]
    [--------------------------------------------------]
    [--------------------------------------------------]
    [--------------------------------------------------]
    [----------------M---------------------------------]
    用OD载入后特征码在下面的红色一行：
    004A21DA      BD            db      BD
    004A21DB   .  B1 D3         mov     cl, 0D3
    004A21DD   .  C3            retn
    004A21DE      BB            db      BB
    004A21DF      A7            db      A7
    004A21E0      A3            db      A3
    004A21E1      A1            db      A1
    004A21E2      00            db      00
    004A21E3      00            db      00
    004A21E4      00            db      00
    转换成反汇编代码如下：
    004A21DA      BD B1D3C3BB   mov     ebp, BBC3D3B1
    004A21DF      A7            cmps    dword ptr [esi], dword ptr es:[e>
    004A21E0      A3 A1000000   mov     dword ptr [A1], eax
    只要修改一下地址004A21DA就可以了，由于向下没有数据，所以整个向下移动一个地址如下
    004A21DA      00BD B1D3C3BB add     byte ptr [ebp+BBC3D3B1], bh
    004A21E0      A7            cmps    dword ptr [esi], dword ptr es:[e>
    004A21E1      A3 A1000000   mov     dword ptr [A1], eax
    弄诺顿扫描一下，文件查杀已经躲过。（图3）
 

图3

    我们把诺顿网络安全特警的所有选项全部打开监控，运行鸽子的服务端。并且看一下更新日期为2008-3-18

 
图4