大家好我是~~坏小子~~今天给大家做一个鸽子的GETKEY.DLL文件的免杀.

本来想做个整体的来，因为在网吧里做诸多不便，所以就做一部分吧。

相信你看了这个动画就可以做出属于自己专用免杀来了，这只是一个思路

希望对大家在免杀的过程中有所帮助.

一直以来鸽子的两个dll文件是免杀的重点，getkey.dll用myccl或ccl

定位出来的结果，用oc转换过来的内存地址在od里就不认识了.这可能是

当年鸽子作者为了升级免杀对dll文件做了数据加密，所以到od里就

不认识了（这只是我自己猜的无从考证）我们怎么才能准确的定位出来

特征码呢！过一会看我操作就是了，就不多打字了~~··

还是用myccl先定位，在用od手工定位，先过表面，在过内存，纯手工打造

不借助+花 +壳 工具，希望你们在以后也是不要利用+花 +壳 工具，尤其

是那些数据加密等工具，因为那样的免杀时间不会太长.想打造属于自己的

专利免杀就的下点工夫。。。。。用到的工具也非常普遍

好了正式开始。。。。

我用就瑞星做测试，其他的杀软也是这个道理，就是特征码不同吧了，

特征码我也定位好了，再简单的演示一下，先看看瑞星是不是最新的啊~~

是最新的哦~~~首先用Restorator.exe导出那两个dll文件，好了，，看看被杀吗~~~

呵呵  其实这是肯定的啊  ~~现在假如你已经用myccl定位好了，不会定位的自己找教程看看啊  我主要是演示手动定位！！

开始拉  仔细看  不多打字咯！！~~把getkey分成两个

我定位的特征看看啊
   不好用啊

  在这里就是特征吗

我是看他的周围有什么可以寻找的信息  看看啊

.3.ZYYd..h..@..E....................}............WINLOGON.EXE....CTRL_ALT_DEL_GETKEY.........COMGP32LOG.DLL.......

在用od载入  看好载入哪个啊   看到什么了吗   呵呵  ~~~

比较一下 你门就从这里开始nop  知道找到特征为止！！

我已经找好了  就不演示了 在16进制编辑器里00填充  然后到od里看看那里发生了变化  就是特征了  呵呵  我就是这样找的

这就是特征地址~~

003DA9D5  |.  8BEC          mov     ebp, esp
003DA9D7  |.  83C4 B8       add     esp, -48
003DA9DA  |.  33C0          xor     eax, eax

我们把他移动到空地址去  就达到免杀了

找个空地址  看我操作啊

不要高混了啊

对了  空地址  你们自己测试一下是否可用  简单的办法就是nop掉后

保存  看能否正常运行！！！不多说了啊~~

就这么  简单  在记录这句 003DAAD4      8BEC          mov     ebp, esp
 让程序连贯起来  这样就连贯了

明白了吗  呵呵  保存

这里大家注意了啊  就是每次改动都要导回去测试一下  我都实验过了就不重复拉

在来看第二句  还在这附近啊  呵呵 od再如

可以用00填充后  od载入看看  我就是这样比较的啊  为了节约时间 就不演示了
   呵呵  好了 保存
最后一句就有点麻烦了

这里原理我就不讲了  不明白的在问我啊  就是删除个小文件  就可以了

不影响使用   看操作啊   好了  现在表面已经过了   看看啊

看到了啊   在过内存  内存定位是用od顶的   大家可以看看别的教程啊

我只简单一演示！！看到了啊  杀了  nop 没到地方  我将定位好的地方

给大家看看啊  003D9D30  一句  直接修改  跳转  重新载入

一句完了  在来第二句

好拉  全部完成  测试一下啊   不杀了 看看 上线 该了后有点慢  上来了 getkey  的作用就是记录啊  所以  记录就重要了  呵呵

看看啊   没有问题   教程结束
http://forum.9198cn.cn
坏小子 QQ：112757868  欢迎大家到这里来 http://forum.9198cn.cn

我经常在这里  有问题问我  在给个群吧  一起研究  呵呵  还是算了吧

我都晕了  。。。。。。

信箱 112757868@qq.com   QQ:112757868    坏小子