gh0st源码免杀 install.exe + svchost.dll

源码免杀的教程就看多了，但是还需要注意点细节。如下是我实战的笔记：

首先，为什么会有这篇笔记呢？在看视频教程的时候，我就在想。gh0st.exe主程序是怎么调用 install.exe + svchost.dll 呢？

视频教程说 只需要免杀这两个文件就可以了 install.exe + svchost.dll。

算了不打字了，文笔太差，就算写了文篇 大家也不知道我在说什么。

其实是这样的：

gh0st.exe 是不会调用任何目录下的 install.exe + svchost.dll 这两个文件的。原因在于编译的时候就已经把 install.exe + svchost.dll 这两个文件内嵌在 gh0st.exe 主程序中。

所以1. 对 install.exe + svchost.dll 这两个文件进行免杀以后 不要以为完事了。当你使用 gh0st.exe 主程序生成木马还是会被杀的。

所以2. 删除  install.exe + svchost.dll 这两个文件同样可以生成木马。

关键步聚：就是要把 gh0st.exe 主程序 和已经免杀的 install.exe + svchost.dll 一同编译。这样已经免杀的 install.exe + svchost.dll 就被嵌入在 gh0st.exe 主程序中了。

你可以这样了解尝试一下：

1.先用 VC++6.0 修改 install 工程源码，编译。修改里面一些简单的代码。

2.使用工具 Restorator.exe 或者 C32Asm 打开一个已经修改过的，再打开一个未经修改过的，对比一下你就会有发现。

好了说完了，不知道新手看懂了没有。现在我作为新手来记录一下免杀需要用到的工具，除了以上两个工具还有：

PETools.rar     OC.rar      MyCCL.zip       OllyDbg

这些大家都知道吧。其它我怕自己忘记了，才写这么多，呵呵。