追寻特征码轻松免杀灰鸽子

随着杀毒软件病毒库的日益庞大，病毒被杀的的概率也越来越大。往往早上编写完成的病毒，到了下午就被列入病毒库。面对病毒被杀的尴尬，我们只能走一条路：免杀。

现在的杀毒软件日益强大，其病毒库的病毒种类也变多。当杀毒软件获得病毒样本后，会从病毒中取一段足以证明该病毒身份且独一无二的二进制代码，这就是所谓的特征码。当特征码被列入病毒库后，凡是带有该特征码的程序几乎都会被杀毒软件视为病毒程序。为了减少误杀的概率，现在的杀毒软件往往会从多处截取多段特征码，这就是复合特征码。

目前市场的杀毒软件杀毒方式大多分为两种：文件杀毒和内存杀毒，这两个方式的典型代表就是瑞星和卡巴斯基。一般我做免杀都用这两个杀毒软件做为参照，从另一个侧面我们也可以得出一个结论：病毒的免杀必须要从文件和内存两方面入手。

追寻特征码轻松免杀灰鸽子 追寻特征码轻松免杀灰鸽子 黑帽艺术

以灰鸽子为例，我们就用修改特征码的方式来为灰鸽子做一次免杀。打开MYCCL加载灰鸽子的服务端，选择“带后缀”并为它设置一个目录。在这里我把分块数量设置为15（大家可以根据需求自行设置，不过要遵循由小到大的原则），然后生成就可以产生程序分块了。

接下来启动360安全卫士对目录内容进行查杀，检测到被杀文件后，把所有被杀文件删除掉。再进行二次处理，这时我们会发现MYCCL已经发现了一处特征码。这时我们继续使用杀毒软件杀毒，继续把被杀文件删除，再进行二次处理。这时我们发现程序再次出现提示发现特征码，这也就使我们获得了特征码的大致范围。

为了尽可能缩小特征码范围，我们还要继续操作。选择“特征区间”，右击特征码选择“符合定位此处”。然后再把分块数量改成100，这就是从小到大的原则。接着继续我们之前的操作，不断循环，直到生成的文件不被杀死为止，也就是说不断地取特征码范围，直到没有特征码可以取为止。

取完特征码后，我们就要对特征码进行修改。打开C32Asm载入灰鸽子的服务端，从第二排工具栏中选择倒数第三个（像花环一样的那个图标），接下来就是对特征码进行汇编修改。找到从汇编代码选取出特征码，右击特征码，选择“跳到”。这时会弹出一个窗口，我们在OFFSET中输入特征码地址后就会自动找到特征码所在位置。我们右击选择“填充”，用00直接填充后保存就可以了。

修改特征码是最常见的一种免杀方式，免杀的效果也非常不错。但面对当前杀毒的主动防御和云查杀，光是特征码已经不行了。还是那句话：免杀要结合多种方式才能起到效果。另外有一点危险漫步提醒各位要注意，每种木马都有自己的启动方式，针对不同的木马要采用不同的免杀方式，但免杀绝对不能单一。