如发现有乱码，请点击下面链接浏览原文
正文摘录:

一臼，一朋友找到我，让我帮他制作灰鸽予免杀，好躲过金山的查杀。这应该挺简单的呀，简单制作一下就应该可以通过了。朋友将配置好的服务端传给我后，我取出MYccL就开始定位文件特征码，顺利的找到后，加以修改发现金山不报毒_r就传给了朋友。但是过了一会儿朋友就告诉我说虽然金山检查文件时不会报告病毒，但是一运行程序就会被查出来。我随后自己也使用灰鸽子配置了一个服务端，按刚才的方法做好文件免杀后在本机运行，使用最新的金山2007米查杀，果然被干掉了。我到百度搜索了一下，发现金山20O7原来是加了一个新功能“数据流”查杀。这所渭的“数据流”是不是和瑞星一样使用的是两套特征码呢?我马卜拿出ccL开始定位特征码，但想不到的是，在定位的时候金山商接把MYCcL给咔嚓了，看来金山对MYccL进行了处理，只好使用OD载入用…半一半法来定位了。所谓的OD一一半一半法就是使用OD载人木马后，把它的区段分为两个部分，然后NOP掉一半，再开起金山内存查杀模式也就是闪电杀毒，看能不能查到，如果能查到病毒，就说明特征码还在没NOP掉的那一段，那就继续把没有N0P掉的那一段再分为两半也就是整个区段的四分之一N0P掉，接着查毒。反之就是对N0P掉的那一段还原，再一半一半的定位查找。这样经过漫长的定位后终于找到了特征码，修改特征码后来进行测试，发现金山不再查杀了。在本机E运行测试一下，但还是没有逃过金山。难道是我的分析错了?金山和瑞星不一样?最后发现金山报的毒是安装后释放的那个d1l文件，这时我才想起，.我使用的是灰鸽子VlP2O06，安装的时候会释放两个DLI。文件，其中有一个是键盘记录，我还没对它们做免杀处理呢。接下来就是对这两个DLL文件进行文件和内仃的相应处理，要用到的工具就是Restorator，用它打开木马的服务端，然后导出其中的MAINDLL.dll文件，再用Restorator打开MAINDIJI。.刚l，再导L叶J其中的GETKEY.dll文件，发现金山对这两个文件都查杀(图1)。使用MYccL定位GETKEY.d】1文件特征码后进行修改，顺利通过了金I』j。把GETKEY.d11导人MAINDLL.dll后再进行特征码定位修改，然后使用0D载人，可还是没有逃过金山数据流的魔掌(图2)。