这一讲我分两部。为什么今天把文件免杀也给弄出来讲了

因为最近发现瑞星的内存免杀和文件混在一起了，文件查杀能力强了，

你的木马如果文件还没有免杀的话，那你的木马的内存特征码也就

难以定位出来，用OD定位，无论NOP那一区段，你的木马都会被杀，

所以在做内存免杀的时候，一定要先做好文件免杀，再做内存免杀！

说免杀不一定要讲灰鸽子。本人不太喜欢鸽子、最近忙学习，但由于

大部分朋友提出来我也只好拿灰鸽子来做实验了。这里呢。我用灰鸽
子
2006给大家演示

用CCL定位文件特征码免杀的一些技巧和方法。

 这里呢 首先要感谢群里的这位朋友qq297383655 提供的正版2006鸽子

好了  我们开始吧！

 
1.首先呢我们用CCL定位文件的特征码  先手动   再   自动

定位出后用OD 修改  把定位出的特征码修成0000000

2.或者直接修改十六进进制，比方说找到特征55  替换54

替换后测试是否可以正常

运行，如果不行，可以其它处！

3. 替换特征码中的大小写以达到文件免杀内存免杀的目地

这个呢。我在上一讲的内存免杀教程里面也提到过的，大多杀毒

软件都把一些病毒木马的特征码定位字符串。这里就不多讲了。不懂的

可以看第一，第二课！

 由于呢，瑞星到现在也不查杀2006最新灰鸽子的服务端。所以呢我们就拿

强大的卡巴来做文件免杀：－）

 用OC 找出内存 “地址” 然后用“顺序”调换法进行调换　
一般为特征码两行地址

互换一下

   这种方法可以达到不会影响程序的正常运行

push 变POP　//它们都是堆战指令　POP出战　　PUSH　压战的意思

JE 变JNZ　//它们都是跳转指令，JE相等则跳　JNZ不相等则跳
jmp

add  变SUB  //add 是加，　　SUB 是减
比如　add ecx,2   改sub ecx,-2  

当遇到了指令相同的如 mov ebp,esp mov ecx,6  可以相互替换一下。
只是是不引响程序的正常运行  这种方法也是可以的！

 好了。今天的课程上一部分就讲到这里了，下一部分我们说内存免杀最后

一讲！最后呢。希望各位同学们。朋友们。自己练习一下。有条件的呢就

用灰鸽子。当然你不一定要用灰鸽子嘛。用别的黑客工具练习一下就行的

比方说 ，军刀NC  查管理员账号密码的Finpass pulist 这些都是被杀的

你可以用CCL试着练习一下， 我们下一节课见