原创：最新灰鸽子简单过卡巴、江民、瑞星、金山（表面和内存）教程
2006年5月27日
========================================================================
华夏黑客同盟(http://www.77169.org)
为普及中国网络安全做贡献
名称:灰鸽子简单过卡巴、江民、瑞星、金山（表面和内存）
主题：灰鸽子简单过卡巴、江民、瑞星、金山（表面和内存）
工具：PEditer1.7、OD1.10、虚拟机vmprotect-V1.08h、加壳工具WinUpackC.exe0.27beta
测试环境：（请注明测试时的环境windowsxp2）

动画简介：

1、用中间跳转法过江民和金山表面，用OD载入无壳服务端，计下程序入口点地址：004A5E40 ，在入口下面的位置找找到几段代码，这个随你喜欢，我找的是这4段：

004A6000     8D55 D4     LEA EDX,DWORD PTR SS:[EBP-2C]
004A6003     33C0       XOR EAX,EAX
004A6005     E8 92CBF5FF   CALL Server.00402B9C

004A600A     8B45 D4     MOV EAX,DWORD PTR SS:[EBP-2C]

好的，现在我们的思路是在上面的代码中给鸽子加一个新的的口点，再把它占用的空间挪到零区域执行，好的现在先把上面的代码nop掉，nop之后，我们作一个跳转命令，把代码跳到零区，零区我找好了，004A6216，我们JMP 004A6216，然后一步加新头JMP 004A5E40，004A5E40是程序的原入口。现在我们要把占用的代码在零区域汇编一下：前三3句就可以了
004A6000     8D55 D4     LEA EDX,DWORD PTR SS:[EBP-2C]
004A6003     33C0       XOR EAX,EAX
004A6005     E8 92CBF5FF   CALL Server.00402B9C

汇编完之后跳回到004A600A，好的至此工作完成大部分，保存一下。

用PEditer1.7把程序的入口改为新头地址：004A6005
第一步工作完成，杀毒测试，瑞星和卡巴还杀，不要紧，接着来

2、我们来过卡巴，请出虚拟机vmprotect-V1.08h，将入口地址加密，很简单用虚拟机打开刚才修改好的服务端，找到入口地址000A6005+00400000=004A6005，左面的空白处点鼠标右键添加地址004A6005，然后在右面会出现入口代码，选中它，点转存——按F9——就可以了（不要点运行啊），好的生成了一个新的文件Server01.vmp.exe；测试一下，卡巴搞定，奇怪瑞星还杀。

3、下面第三步，我们过瑞星，我实在有点懒了，不改特征码了，我们直接加壳WinUpackC.exe0.27beta，加完后测试，都不杀了，测试内存，全过！！


其实我在做vip2.03免杀的时候，上面的方法我一个都没有用到，我都是定位出特征码直接用UE修改，没有加花和做跳转，也没有加壳，为什么这样做，道理很简单，在这个基础上可以在用上n种方法组合免杀，那样能保持长久的免杀效果，我修改的黑防的鸽子，已经一个多月了，还免杀中！

华夏提示：详细信息及相关评论请看http://bbs.77169.com/htm_data/127/0605/150763.html