作者：chenwq1977
2006年6月4日

华夏黑客同盟(http://www.77169.org)

名称:最新黑防鸽子简单过卡巴、江民、瑞星、金山（表面和内存）
主题：灰鸽子简单过卡巴、江民、瑞星、金山（表面和内存）
工具：自定义木马彩衣、PEditer1.7、OD1.10、虚拟机vmprotect-V1.08h、加壳工具WinUpackC.exe0.27beta
测试环境：请注明测试时的环境windowsxp2

动画简介：

大家好，我是chenwq1977，很高兴又见面了！
上次给大家做了一个鸽子vip2.03的教程，有朋友反映说，自己没有vip2.03，其实免杀的思路是一样的，用上次的方法也可以的，关键的步骤在于中间跳转的那一步，多试几个一定会成功的！好的言归正传，这次做一个黑防的免杀教程，步骤比上次的还要简单，效果呢，非常明显，还是过瑞星、金山、卡巴、江民的表面和内存！这里借鉴了bjboy加区的思路，表示感谢！

第一步：加区去头，增加一个新的区段，在这个新的区段中给木马的服务端增加一个新头，增加区段用到的工具是自定义木马彩衣，其实其它的工具也非常多的，只是感觉这个简单（中文），只用它来增加一个区段，打开木马彩衣，选择打开无壳Server.exe，选中只加区段，我们写个区段名，就wen吧，区段大小100就够了。然后穿上，就ok了！，用peid打开找到我们刚才添加的区段wen对应的地址是000c2000，对应的内存地址是000c2000+0040000=004c2000，好的，现在我们在新加的区段中加入我们的新头，我们给复制入口点的前5句：

004A1E48 > $ 55         PUSH EBP
004A1E49   . 8BEC       MOV EBP,ESP
004A1E4B   . B9 04000000   MOV ECX,4
004A1E50   > 6A 00       PUSH 0

004A1E52

用od载入服务端，点输入表达式跟随004c2000，找到我们新增加的区段，然后随便在下面选一个地址开始汇编，我是从004C2008开始汇编，只汇编上面5句中的前4句就可以了，
004A1E48 > $ 55         PUSH EBP
004A1E49   . 8BEC       MOV EBP,ESP
004A1E4B   . B9 04000000   MOV ECX,4
004A1E50   > 6A 00       PUSH 0
汇编完成后，跳回到004A1E52。好的工作大部分完成。保存修改内容后退出。

用peditor1.7把入口改为新头的地址，只改后面改变的5位C2021，点应用更改，好的，第一步完成了，是不是非常的简单啊，测试一下效果：靠，只能过江民表面，其它都杀，没关系！

第二步：用虚拟机vmprotect-V1.08h，新入口地址加密，很简单用虚拟机打开刚才修改好的服务端，找到入口地址000C2008+00400000=004C2008，左面的空白处点鼠标右键添加地址004C2008，然后在右面会出现入口代码，右键全选，点转存——按F9——就可以了（不要点运行啊），好的生成了一个新的文件Server.vmp.exe；测试一下，卡巴、瑞星、金山表面全过。是不是很幸福啊！

第三步：随便加一个可以过瑞星内存的壳就搞定了，不建议可以用北斗，其实这样的壳n多，我收集的许多壳都可以过，如果非用北斗，这里有一个技巧，别用高版本的，比如说北斗3.5、3.7等，那样就不能保证长久的免杀效果，用2.x的，能过瑞星。用上次教程用到的工具WinUpackC.exe0.27beta也可以的，加完后测试，都不杀了，测试内存，全过！！

到这里吧，其实免杀的方法有千万种，有时候思路非常的重要，总之，多去想，免杀的路就宽了！

华夏提示：详细信息及相关评论请看http://bbs.77169.org/htm_data/127/0606/152024.html