灰鸽子VIP2006终极免杀技术（二）--灰鸽子,VIP2006,终极,免杀,技术

作者：佚名来源：网上收集发布时间：2006-6-23 23:12:17

上节课我们把GETKEY.DLL免杀做完拉，现在我们该给MAINDLL.DLL做免杀了，我们先

来给他做文件免杀，如果文件免杀完成，我们再载入OLB内存中，用卡巴查杀，如果能不

被杀，那说明卡巴的文件病毒特征码就和文件一样大，好我们还是来定位MAINDLL。DLL

吧。先来一次大定位，下面看我操作吧，不打字拉，看我调CCL哦，第一次文件定位，我

们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧，为了节省时间，我们就定

位大一点，好拉定位完成，我们来杀毒。大家可以快进一下，因为杀毒有点慢，继续第2论

定位，再来一次8字节定位。刚才的32字节还没杀毒呢，继续杀毒，好结果终于出来拉，我

们用C32来搞跳转法。找这个000852D0，呵呵不好意思哈打错拉，因该打开这个哦，找到

啦，我们去下面找空隙，
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口点 00085C10 跳转法完毕，我们保存一下，查毒，文件查杀已经过拉，我们来内存

查杀。哈哈内存也过拉，现在我们要导回服务端，，，看看能不能上线。还是传到我地空

间，然后上虚拟主机试验。呵呵捎等一下，有时候就这样，OK上来拉，速度有点慢哦，

耐心等一下吧，虚拟主机慢啊，，，大家可以快进一下哦。下面做的就是测试能不能上

线拉，把鸽子VIP2006打开，等待上线。消失了，看看能上线吧？OK可以上线，这节课

到此吧，下节课讲服务端免杀。