由于黑防版的灰鸽子操作简单、功能强大，并且是完全免费的版本，所以成为众多木马爱好者的最爱。但是“人怕出名猪怕壮”，由于使用的用户众多，现如今已经成为杀毒软件的首要查杀目标。好在黑防版灰鸽子开放性的服务端程序，可以让我们进行任意的免杀操作。下面我也通过黑防版灰鸽子来一次服务端再免杀的操作，以此通过大多数杀毒软件的查杀。

　　添加区块

　　首先运行灰鸽子黑防版的客户端程序，按照自己的要求配置一个服务端程序，不过注意服务端程序一定不要加壳处理。由于一会儿要对服务端程序进行加花处理，所以首先来对服务端程序添加一段区块。之所以要进行这一步操作，是因为黑防版灰鸽子服务端程序代码之间的间隙太小，如果直接加花的话，生成的服务端程序运行时就会出现错误提示。

　　这里我们运行区段添加工具ZeroAdd，点击“Pick a file”选择配置的服务端程序，接着在“Enter a name for the new section”选项中设置新建的区块名称，名称可以随便起，但必须是英文的，我这里设置为gezi;然后在“Enter # of bytes to add (in hex)”选项中填入增加的字节数，字节数不需要设置太大，这里设置为100;最后点击“Add new section!”就可以进行区块的添加了，如图1所示

　　由于我们刚刚添加了一个区块，所以接着运行PE编辑工具LordPE(号称“最好的PE文件修改工具”)，在弹出的窗口中点击“PE编辑器”按钮来选择服务端程序，接着在弹出的“PE编辑器”窗口中点击“区段”按钮，在弹出的“区段表”窗口找到“Name”名称为“hake”的这一项，地址为000C2000，如图2所示。

　　由于下面我们将在这个增加的区块添加花指令，所以先将服务端程序的入口点进行更改，这里我们依然利用LordPE来更新程序的入口点。同样在“PE编辑器”窗口中找到“入口点地址”选项，将原来的入口点“004A1E48”记下，接着将“入口点地址”选项改为“000C2010”，然后点击“保存”后即可，如图3所示。

　   加花

　　现在我们开始进行加花操作，虽然网上有很多加花工具，但是通过工具进行加花不一定每次都能成功，最好还是通过手工进行加花。通过反汇编工具OllyDBG载入服务端程序，程序会自动停留在新的入口点“000C2010”处，如图4所示。首先我们进行加花处理，从这一行向下选择多行，点击鼠标右键选择“二进制”菜单中的“使用NOP填充”命令，将这些代码填充掉，然后点击右键菜单中的“汇编”命令，在“汇编”窗口中依次写入下面这段花指令：

　　push ebp

　　mov ebp,esp

　　add esp,-10C

　　add esp,10C

　　push eax

　　jmp 000A1E48(服务端程序的原入口点)

[1] [2] 下一页