等着　等着现在很多用户在免杀灰鸽子后，遇见这样一个非常奇怪的情况。就是明明已经兔杀的文件，在导入用户的配置信息以后就立即被某些杀毒软件的数据流功能所查杀。那么这个问题到底是怎样产生的，我们又应该如何解决这个问题呢?
　　
　　A　修改配置信息
　　既然是在导入配置信息后，才被某些杀毒软件所查杀的，说明问题就出在配置信息里面。首先运行资源修改工具Resterator。点击工具栏中的“打开文件”来选择服务端程序。接着在资源树中选择“RC数据”中的“HACKER”选项，现在从右侧窗口可以看到一串字符串信息，这就是经过服务端加密处理的配置信息内容。
　　


　　现在点击工具栏中的“编辑模式”按钮。只需要对加密信息中原有的的英文字母改成小写的即可(如图1)。至于更改多少个英文字母。就完全是凭个人意愿，既可以改一个也可以改多个。完成操作以后，点击“文件”中的“另存为”命令，将文件重命名为其它的名称即可。经过这样处理过的灰鸽子，就不会被某些杀毒软件查杀呢。
　　
　　B　更改调整信息既然文件可以被查杀就说明其存在特征码，因此还可以按照传统的方法来查找并修改特征码。运行特征码分析程序MYCCL，按照以前介绍的方法进行设置，只不过需要点击操作界面中的“正向”按钮，来改变程序默认的分析方式。最终MYCCL程序得到的特征码位置是00000100_00000002。现在运行十六进制工具C32Asm。点击“文件”菜单的“打开十六进制文件”。选择被杀的灰鸽子程序。接着点击右键菜单中的“跳到”命令，然后在弹出的窗口中输入“00000100”(如图2)。
　　


　　从搜索结果中我们可以看到，特征码的位置和文件的PE头位置很接近。于是试着通过更改PE头，结果不是被金山所查杀，就是服务端运行出现错误。于是就想在特征码前后的位置进行更改，因为这些地方有很多代码都是00，这样更改不会引起服务端的错误。于是我就将特征码所在的上一行，最后一个字节由00改成90。保存后发现文件不被查杀呢(如图3)。另外还有网友发现，从PE头向下数第八行的最后一个字节，在修改后也可以起到免杀的效果。这种方法不但适合于对服务端的修改，也适合于服务端母体的修改。通过“文件”菜单的“另存为”命令，将修改后的文件命名为CServer.Dat。然后将生成的母体文件复制到“Cache”文件夹中。替换原来的CServer.dat即可，这样用户以后就可以直接配置免杀的服务端。
　　
　　修复不能运行的可执行程序
　　冰　叶
　　
　　某天，同学抱着他的笔记本来求救：不知是何种原因，所有可执行程序(.exe)都无法正常运行了。大致给他检查了一下，发现仅仅是可执行程序不能运行了。而其他的系统加载项都能正常加载。我尝试进入安全模式。可执行程序仍不能运行，初步判断不是病毒作用。根据曾经的经历判断，应该是注册表的非正常修改导致的可执行程序关联错误。因为所有的可执行程序都不能运行，包括regedit.exe，所以只能借助于第三方工具。于是我拿出了SREng，系统修复工程师。把SREng，exe的后缀改成.com，即SREng.com，成功运行后，选择系统工具一文件关联，然后将扩展名为exe的选项选上，点击修复(如右图)。瞬间大功告成。