脱火狐-MiNi鸽子免杀版的壳＋简单修改资源文件＋客户端、服务端免杀
用到工具：OD
          木马彩衣
          peid//探壳
          PE Explorer//修改资源
首先脱客户端的壳
peid查壳，伪装Microsoft Visual C++ 6.0，仙剑的壳，不管它，用OD载入先脱了再说，OD设置看演示，
运行程序走到这里，看这里，0012FFC0   006967F2  SE处理程序

OK，ctrl+g，在006967F2处下断点，f2下断点，shift+f9，然后再f2去断点，
然后单步跟踪，跟到这里
00696821    5F  POP EDI; 火狐-MiN.00693001

POP EDI，寄存器edi中的值火狐-MiN.00693001，在这里，
ctrl+g，在00693001处下断点，f2下断点，shift+f9然后再f2去断点，OK，这里就是出口了，在这里脱壳
，看一下脱了没有，运行正常，pe查壳ASPack 2.12 -> Alexey Solodovnikov，继续脱，这次就不那么麻烦了，peid自带的自动脱壳工具可以搞定，看操作
再看是不是脱干净了，Borland Delphi 6.0 - 7.0，可以了，这次脱干净了，看下是否被杀，再看一下原文件是否被杀和第一次脱壳后的程序是否被杀，tk不被杀，呵呵，这个不被杀，待会修改资源后重新加ASPack 2.12的壳就可以过卡巴了，呵呵，刚才做的时候没有发现这个，也是一种免杀方法吧！
OK，下面修改资源，用到工具PE Explorer，看操作。看一下是否修改成功了，没问题，成功修改，时间关系只做简单修改，
下面做客户端免杀，用到工具——木马彩衣，OD，看操作，看下能否免杀，（当然也可以加壳免杀，这里我不做加壳免杀了），看操作，先穿衣，穿衣成功，看下是否免杀，不免杀，OD载入修改指令实现免杀，
0069C0B9 >  55              PUSH EBP
0069C0BA    90              NOP
0069C0BB    90              NOP
0069C0BC    8BEC            MOV EBP,ESP
0069C0BE    41              INC ECX
0069C0BF    90              NOP
0069C0C0    52              PUSH EDX
0069C0C1    90              NOP
0069C0C2    90              NOP
0069C0C3    5A              POP EDX
0069C0C4    90              NOP
0069C0C5    5D              POP EBP
0069C0C6    41              INC ECX
0069C0C7  ^ E2 D0           LOOPD SHORT 二次脱壳.0069C099
0069C0C9    90              NOP

看这段代码：下面是我从中提取出的几句
0069C03C    52              PUSH EDX
0069C03D    90              NOP
0069C03E    90              NOP
0069C03F    5A              POP EDX

不执行任何操作，NOP掉，免杀了，再看能否正常运行，OK
然后就是加压缩壳使程序减肥了，随便找一个加壳程序就可以了，我就不做了，时间关系服务端免杀我不做了，我说一下步骤，脱服务端的壳，然后加花，改花，然后就可以实现免杀了，我做好了一个免杀服务端，Setup.exe，就这个，
运行后程序开了smartmouse进程，先看进程有没有这个进程，我运行一下给大家看看，没有smartmouse进程，没有，我运行给大家看，运行了，进程也开了，忘了有没有查杀，哎，记性不好，ok，免杀的，由于是随便让生成了一个服务端，所以也上不了线，OK，动画到此结束！