这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程，我也看过很多，但是免杀效果都不是很好，用不几天就被杀了，所以真正免杀的鸽子，还是修改杀毒软件的特征码。这样免杀效果才更好，能达到长期免杀。今天这节课主要给大家讲过卡巴内存免杀和外表免杀，达到总体免杀，只要你学会了这种方法，以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了，大家就好好看我操作吧!这是我已经生成好的VIP2006服务端，下面我们开始把服务端的需要做免杀的DLL导出来!

　　这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧，2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件，现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的，然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧，都被列为黑名单了。

　　介绍一下卡巴的威力吧，卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧，先来一次大定位，第一次先定位5秒1000字节吧，只要是被报毒的，我们就选择。然后进行第2次定位，5秒32字节，看好我的操作哦，别忘了删掉上次定位的。好保存结果，然后再来一次详细的8字节定位，这样能提高免杀效率。OK定位搞顶啦，然后我们去用C32工具来修改特征码可以用大小写修改法，也可以用跳转法，具体用什么，我们先去看看吧。看到了吧，有字母，那我们就用UE来该大小写字母吧，我们来杀下毒吧，文件不报毒了，看看内存呢，用OLB载入内存。被杀了，说明定位的还是不够准，那咱在来一次详细准确的4字节定位，呵呵，看来还有个来，继续。

　　OK最后一次详细定位结果出来啦，我们去保存一下。我们来分析一下结果吧，第一个大小60吧，下面的都一样吧，那我们就来选择第一个，去修改特征码，用跳转法，看我操作吧，用C32工具，找到0000B1CA大概就是这里拉，大家如果不懂16进制的话，可以找UE看哦，继续，，，我们把这段 NOP掉，然后去下面找到程序空隙，也就是0000区吧

0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
0000B1D5

　　新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP 0000B1D5 OK保存一下，我们来查下毒吧，文件不报警拉，我们内存查杀，因该找到我们刚刚保存的那个DLL，OK内存已经免杀了，我们现在看看导回服务端能不能上线。

　　把备份的删掉就可以了啦，现在我们传到空间上去，然后用虚拟即运行，我们改成keymiansha.exe传到空间吧，打开虚拟主机，上传完毕啦，等一下哦，虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线，刚刚上线的这些不是哦，我专门的分组拉，等一等哦，先喝杯咖啡吧，呵呵。

　　好拉，我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧，还忘了卸载看好拉，我把他卸掉。OK，哈哈上线拉，我们看看功能吧。功能都可以，好啦，我们卸掉它吧。

　　KEYDLL免杀到次结束，下面将MAINDLL.DLL免杀!

　　现在我们该给MAINDLL.DLL做免杀了，我们先来给他做文件免杀，如果文件免杀完成，我们再载入OLB内存中，用卡巴查杀，如果能不被杀，那说明卡巴的文件病毒特征码就和文件一样大，好我们还是来定位MAINDLL。DLL吧。先来一次大定位，下面看我操作吧，不打字拉，看我调CCL哦，第一次文件定位 ，我

　　们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧，为了节省时间，我们就定位大一点，好拉定位完成，我们来杀毒。大家可以快进一下，因为杀毒有点慢，继续第2论定位，再来一次8字节定位。刚才的32字节还没杀毒呢，继续杀毒，好结果终于出来拉，我们用C32来搞跳转法。找这个000852D0，呵呵不好意思哈打错拉，因该打开这个哦，找到啦，我们去下面找空隙，

000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
JMP 000852D9

　　新入口点 00085C10 跳转法完毕，我们保存一下，查毒，文件查杀已经过拉，我们来内存查杀。哈哈内存也过拉，现在我们要导回服务端，，，看看能不能上线。还是传到我地空间，然后上虚拟主机试验。呵呵捎等一下，有时候就这样，OK上来拉，速度有点慢哦，耐心等一下吧，虚拟主机慢啊，，，大家可以快进一下哦。下面做的就是测试能不能上线拉，把鸽子VIP2006打开，等待上线。消失了，看看能上线吧?OK可以上线，到此结束，下面讲服务端免杀。

　　上面已经完成服务端内核了，这里主要给大家做服务端的免杀!OK。废话少说，我们来做服务端免杀。先把上节课做的免杀的MAINDLL.DLL 导入没有做免杀的服务端里，大家看我来演示。我们先来一次大提定位吧，更新下病毒库，再准确的来一次定位，看到了吧，还有2组，我们再来一次8字节定位，我们来修改0000BBB5这段中的8个字节。有RETN的地方我们就不修改，把复制的这段NOP掉，然后去下面找程序空隙，OK汇编完成，保存一下。

0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
0000BBC2

　　新入口点0000C1DE

　　用卡巴查杀一下，看看，呵呵看到了吧，不报毒了，我们再内存查杀一下，看看，有点卡，耐心等待一下哦。看到了吧，内存也不报毒了，下面我们到虚拟主机上测试一下看看能不能上线，先把做好的免杀服务端传到我的空间上去。去虚拟主机，启动有点慢。

　　去打开鸽子VIP2006等待上线哦，看看好了吧，消失了吧，看看虚拟主机的名字，DATOU，我们去看看鸽子上线了吧?OK。可以啦，现在可以在卡巴的眼皮下运行了，本教程到此结束，关于卡巴的终极免杀技术就到此吧，希望大家能学会。本动画只为学习，请勿做违法的事哦，呵呵。以后我会陆续发布瑞星，江民，诺吨，金山，安博士，等杀毒软件的完全免杀教程。希望大家关注。

　　(参考链接: http://soft.yesky.com/security/132/3039632.shtml)