灰鸽子VIP2006终极免杀技术(一)--灰鸽子,VIP2006,终极,免杀,技术

作者：佚名来源：网上收集发布时间：2006-6-23 23:12:15

这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例！

现在网上很多免杀教程，我也看过很多，但是免杀效果都不是很好，用不几天就被杀了，所

以真正免杀的鸽子，还是修改杀毒软件的特征码。这样免杀效果才更好，能达到长期免杀。

今天这节课主要给大家讲过卡巴内存免杀和外表免杀，达到总体免杀，只要你学会了这种

方法，以后自己做属于自己的DIY免杀鸽子就可以啦！好了废话不多说了，大家就好好看

我操作吧！这是我已经生成好的VIP2006服务端，下面我们开始把服务端的需要做免杀的

DLL导出来！
这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧，2006少

了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件，现在2006里没有拉！这样做免

杀就方便了一些！我们先把卡巴病毒库升级到最新的，然后在用卡巴查一下我们需要做免

杀的这3个文件。看到了吧，都被列为黑名单了。
介绍一下卡巴的威力吧，卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦，

我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧，先来一次大定位，第

一次先定位5秒1000字节吧，只要是被报毒的，我们就选择。然后进行第2次定位，5秒

32字节，看好我的操作哦，别忘了删掉上次定位的。好保存结果，然后再来一次详细的

8字节定位，这样能提高免杀效率。OK定位搞顶啦，然后我们去用C32工具来修改特征

码可以用大小写修改法，也可以用跳转法，具体用什么，我们先去看看吧。看到了吧，

有字母，那我们就用UE来该大小写字母吧，我们来杀下毒吧，文件不报毒了，看看内

存呢，用OLB载入内存。被杀了，说明定位的还是不够准，那咱在来一次详细准确的

4字节定位，呵呵，看来还有个来，继续。
OK最后一次详细定位结果出来啦，我们去保存一下。我们来分析一下结果吧，第一

个大小60吧，下面的都一样吧，那我们就来选择第一个，去修改特征码，用跳转法，

看我操作吧，用C32工具，找到0000B1CA大概就是这里拉，大家如果不懂16进制的

话，可以找UE看哦，继续，，，我们把这段NOP掉，然后去下面找到程序空隙，也

就是0000区吧，
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口点 JMP 0000B916 也就是返回上面的意思吧呵呵不好意思这里因该JMP

0000B1D5 OK保存一下，我们来查下毒吧，文件不报警拉，我们内存查杀，因该找到

我们刚刚保存的那个DLL，OK内存已经免杀了，我们现在看看导回服务端能不能上线。

把备份的删掉就可以了啦，现在我们传到空间上去，然后用虚拟即运行，我们改成

keymiansha.exe传到空间吧，打开虚拟主机，上传完毕啦，等一下哦，虚拟机启动慢

你可以快进一下观看。打开鸽子VIP2006等待上线，刚刚上线的这些不是哦，我专门

的分组拉，等一等哦，先喝杯咖啡吧，呵呵。
----------------------------------------------------------
好拉，我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧，还忘了卸载

看好拉，我把他卸掉。OK，哈哈上线拉，我们看看功能吧。功能都可以，好啦，我们

卸掉它吧。
这节课KEYDLL免杀到次结束，下节课将MAINDLL.DLL免杀！