第三讲：一步一脚印做内存免杀（下）（六月安全同盟内部教程）
前言：
1.上讲课内容为什么要把文件免杀提到内存里讲。主要是珍对瑞星的。

因为要做出瑞星文件免杀。才可以对做瑞星的内存免杀。不然的话文

件过不了瑞星的话，后面也就做不下去了。明白了吧！

2.上一讲我们讲到了用CCL定位我们的强大的卡巴文件查杀
其实我也说过。只要是过了卡巴的文件查杀也就过了卡巴的内存。瑞星才

是真正的意义查杀内存。由于我现在一直用的是黑防鸽子。我也讲过了黑

防鸽子内存免杀的原理以及技巧。这最后一讲就是结合内存免杀的多区多段

做讲解的。为什么要讲这节呢 因为有些杀毒软件把一些病毒木马程序的区段

不只是放在CODE这个区段里也就是大家说的程序的入口处的特征代码。相信大

家都用过PEditor(改入口点)这个工具，对于一些危害不大的黑客木马程序则一

般情况下我们只要用PEditor把入口处加1就可以达到免杀的效果了，但象现在以

前早期版本的灰鸽子基本上你是在CODE定位不出来的。这就是我在第一讲当中讲

到的为什么不能用CCL定位内存特征码了 。因为他的特征码分在程序头不只是开头

的CODE这个区段里面，而是在其它的区段里面。这就实现了内存特征码分在了多区

段里了！ 好了。今天我们就不拿灰鸽子来做了。因为2006的到现在内存还没被杀

还有就是我感觉说到了现在都是珍对灰鸽子讲的 呵呵！ 今天我们就换一个木马程序

相信玩黑的都知道radmin这款不是象灰鸽子。PCSHARE。那些反弹木马的。他一般是

用做在局域网主机控制局域网里的其它机器，或者动态IP控制因定IP的。 一般这款木

马用它来控制服务器那是最好不过了。不会的朋友可以从别的地方下载一些它的视频

教程和文章看下。黑客的最爱 呵呵！！

  好了我们现在就来讲它的主文件r_server被我改了名了  我改成explorer了。为了

迷获管理员查看进程的 呵呵！  这个文件呢它是被瑞星的内存所查杀的。我们来看下

好了被杀了，我们在来认识一下什么叫区段。！ 好了，我们来用OD载入先NOP掉CODE

这个区段里面的所有代码。相信大家都知道。有些危害力不大的病毒或木马。象QQ尾

巴这些的。一般它们的病毒代码都是分配在CODE里的！我们直接就可以采用OD的一半

定们就可以搞定。我们来看下它是不是NOP掉这个区段就可以免杀！看到没有。还是

被杀的。这就叫一些新手朋友们为难了。为什么NOP掉整个CODE还被查杀了！

 这呢就实现了多区多段内存特征码定位了，到底我们怎么改呢。好，我们先用OD

把那几个区段里给找出来，我们一个一个NOP区段。看看哪个被杀。哪个不被查。

    后面的我就直接语音了。大家注意听讲。这里要对汇编有一点了解的。也不需要

了解的太多。大家跟着我一步一步做就可以了。不懂的话可以多看几次！

    好了。我们开始！

*******************

  至此的内存免杀四课就讲完了。其实也不是太难。只要多加练习。相信你早晚会成

为一个做免杀的高手的。祝后呢我祝大家早晚从黑客菜鸟。到人人羡慕的黑客雄鹰的

    谢谢

                                                                     http://www.kusu.org
                                                                      六月网络安全联盟

                                                                      技术群   20385573