我们要用的工具：Ollydbg，ResScope，WinHex，PEditor，MyCCL，花指令一段（毕竟我们在短时间内
还不容易学会，只能改了）
~~~~~~~~~~~~~~~~~~~~~~~
大家还可能用的是：OC（当我们改的离入口远的时候要用的。）
~~~~~~~~~~~~~~~~~~~~~
防杀精灵一号防杀代码:
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
pop eax
mov dword ptr fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 入口
》》》》》》》》我用这个演示
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
防杀精灵一号防杀代码已经被杀
我们的目的是改一下结构
--------
push ebp
mov ebp,esp
必备的因为这是文件头
--------------------
push -1
push 666666
push 888888
自己改着玩
x的地方可以自己改
格式为
push -1
push xxxxxx
push xxxxxx
x要6个并且要为0123456789abcdef这几个
如push -1
push 123456
push abcdef
建议改掉
在动画前发现咔吧大叔杀他
放段垃圾代码吧
PUSH EAX
POP EAX
XOR EAX,EAX
----------------
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
pop eax
mov dword ptr fs:[0],eax
MOV    传送字或字节
PUSH    把字压入堆栈
POP    把字弹出堆栈（抄8088的）
我的理解为
push eax+pop eax=0（其实是废话去掉后一样可以上线，有空可以试下。）
mov eax,dword ptr fs:[0]+mov dword ptr fs:[0],eax
=mov eax,eax=0
我们去掉一个加上个
add eax,2
add eax,-2
add eax,2+add eax,-2=add eax,eax
=0
最终为
push eax
add eax,2
pop eax
add eax,-2
dword ptr fs:[0]这个不太懂
还请会的给我讲一下
----------------
pop eax
pop eax
pop eax
pop eax
我认为没意识去掉
放个nop吧
最终为
nop
nop
nop
其实随便拉要不要无所谓
放多了程序运行时会变慢
----------
mov ebp,eax
jmp 入口
不改了（其实我不会改这里）
会的Q我391232032
-----------------
最终为
push ebp
mov ebp,esp
PUSH EAX
POP EAX
XOR EAX,EAX
push eax
add eax,2
pop eax
add eax,-2
mov ebp,eax
jmp 入口
-->比较下
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
pop eax
mov dword ptr fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 入口
结构变了好多
结构简单了点利于运行
----------------------------
不知道分析对不对，只是看了遍8088
反正自己没学过,改的是灰鸽子内的getkey.dll

有错误请指正
email:bnzm52710@gmail.com

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课