灰鸽子VIP2006终极免杀技术

上节课我们把GETKEY.DLL免杀做完拉，现在我们该给MAINDLL.DLL做免杀了，我们先

来给他做文件免杀，如果文件免杀完成，我们再载入OLB内存中，用卡巴查杀，如果能不

被杀，那说明卡巴的文件病毒特征码就和文件一样大，好我们还是来定位MAINDLL。DLL

吧。先来一次大定位，下面看我操作吧，不打字拉，看我调CCL哦，第一次文件定位 ，我

们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧，为了节省时间，我们就定

位大一点，好拉定位完成，我们来杀毒。大家可以快进一下，因为杀毒有点慢，继续第2论

定位，再来一次8字节定位。刚才的32字节还没杀毒呢，继续杀毒，好结果终于出来拉，我

们用C32来搞跳转法。找这个000852D0，呵呵不好意思哈打错拉，因该打开这个哦，找到

啦，我们去下面找空隙，
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口点 00085C10 跳转法完毕，我们保存一下，查毒，文件查杀已经过拉，我们来内存

查杀。哈哈内存也过拉，现在我们要导回服务端，，，看看能不能上线。还是传到我地空

间，然后上虚拟主机试验。呵呵捎等一下，有时候就这样，OK上来拉，速度有点慢哦，

耐心等一下吧，虚拟主机慢啊，，，大家可以快进一下哦。下面做的就是测试能不能上

线拉，把鸽子VIP2006打开，等待上线。消失了，看看能上线吧？OK可以上线，这节课

到此吧，下节课讲服务端免杀。

上面2节课已经完成服务端内核了，这节课主要给大家做服务端的免杀！OK。废话少说，

我们来做服务端免杀。先把上节课做的免杀的MAINDLL.DLL导入没有做免杀的服务端里，

大家看我来演示。我们先来一次大提定位吧，更新下病毒库，再准确的来一次定位，看到

了吧，还有2组，我们再来一次8字节定位，我们来修改0000BBB5这段中的8个字节。有

RETN的地方我们就不修改，把复制的这段NOP掉，然后去下面找程序空隙，OK汇编完

成，保存一下。

0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
--------------------------------------------------0000BBC2
新如口点0000C1DE

用卡巴查杀一下，看看，呵呵看到了吧，不报毒了，我们再内存查杀一下，看看，有点卡，

耐心等待一下哦。看到了吧，内存也不报毒了，下面我们到虚拟主机上测试一下看看能不

能上线，先把做好的免杀服务端传到我的空间上去。去虚拟主机，启动有点慢。
去打开鸽子VIP2006等待上线哦，看看好了吧，消失了吧，看看虚拟主机的名字，

DATOU，我们去看看鸽子上线了吧？OK。可以啦，现在可以在卡巴的眼皮下运行了，

本教程到此结束，关于卡巴的终极免杀技术就到此吧，希望大家能学会。本动画只为学习，

请勿做违法的事哦，呵呵。以后我会陆续发布瑞星，江民，诺吨，金山，安博士，等杀毒

软件的完全免杀教程。希望大家关注。