<黑客免杀攻防>第五章 花指令与免杀 读书笔记

最新推荐文章于 2022-11-18 18:05:10 发布
最新推荐文章于 2022-11-18 18:05:10 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 苦行僧之路 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/40793729
版权

1为了保护真正的果实,所以使用花朵是别人迷惑.

花指令不是加密代码,它分两种:

a夹杂运行


b高级语言的花指令应用,程序在运行时会因为花指令而改变原有的流程.该书暂不涉及,据称"比较复杂且效果有限"


2脚本木马花指令


3花指令根基-汇编语言

a认识汇编

80x86汇编大致可分为这么几个功能组:

  • 数据传输指令
  • 逻辑运算指令
  • 串操作指令
  • 控制转移指令
  • 处理器控制指令


b增加反汇编添加任意功能:

知识点:汇编调用API函数遵循sdtcall调用规则(从右到左的压栈)

对于少数API使用的是cdecel例如printf

理论上设计一个简单粗暴的恶意程序:再删除C盘下所有能删除的东西.先尝试格式化其它盘并用垃圾数据覆盖.

更加说明了安全软件接管暴力命令的必要性以及访问权限的控制.


4花指令入门

A常用花指令

  • nop
  • pop 0;pop 0
  • push ebp;pop ebp
  • add esp,1;sub esp,1
  • add esp,1;add esp,-1
  • sub esp,1;sub esp,-1
  • inc exc;dec exc
  • sub eax,-2;dec eax;dec eax
  • push ******;retn    ///将入口地址压入栈,再返回到入口地址
  • mov eax,*****;jmp eax

两种反汇编算法:

  1. 递归行进
  2. 线性扫描

"Softice和Windbg属于前者,OD和IDA属于后者。
对于线性扫描,我们在代码段加入数据定义来迷惑反编译器,比如在汇编代码中嵌入:
  _asm _emit 0x0f;//_EMIT伪指令相当于MASM中的DB,但一次只能定义一个字节。
这样会让部分反编译器错误的将其错误识别。
递归遍历比较高级,简单的插入定义起不到作用。可以将_asm _emit 0x0f放在永远不能达到的条件分支后,比如比较1和1不相等则转跳。这样可以迷惑IDA,对OD无效。可能它对不同的分支都做了分析。
解决方式是:在转跳的目的的起始位置定义。"---摘自看雪论坛<反调试跟踪的一点心得>作者"质量第一"


使用emit伪指令直接插入机器码在内嵌汇编中,可能(当这种花指令符合OPCode规则时)导致OD错误翻译下文.



5花指令在免杀领域的应用

A

B修改技巧

不在不可控的情况下破坏堆栈平衡

C寻找空白区域,加空白区段

1用WinHex寻找
2检查区域是否可写


PEID也可以完成这个任务哟,CodeCaver(PE空隙搜索器)是专门寻找0x00区域的程序(注意:它只能在目标文件运行的情况下寻找,如果是木马汗)


可以用ToPo来增加空白区段.


6花指令的高级应用-提取,快速应用,SEH

A花指令的提取与快速应用

B SEH异常的应用

SEH异常又名结构化异常处理,是系统提供的一个服务,用于使软件更健壮.


"Win32结构化异常处理是操作系统提供的一种服务。 在编译器的 SEH 层减少了直接使用纯操作系统的 SEH所带来的危害的同时,也将纯

操作系统的 SEH 从大家的面前隐藏了起来。

但程序遇到Seh异常时,异常交给系统处理(这将是一个非常负责的过程,很容易跟飞),所以利用Seh异常可以一定程度的防止程序被调试。(seh异常在壳里是很常见的)"

--摘自 ZanipoLo的新浪博客   其内有详细介绍和使用方法.



dalerkd
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
源码免杀-指令
08-21
含源码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的源代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。
免杀指令
weixin_34106122的博客
09-30 148
今天送上经典指令 注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果. push ebp pop ebp push eax pop eax push esp pop esp push 0 push 0 push 10 -------其中数字可以任意,注意与下面对应 push -10 nop -----------可任意在中间添加 与它等效的: mov EDI...
c语言免杀指令大全,免杀指令
weixin_36219745的博客
05-18 835
今天送上经典指令注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果.push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可...
免杀指令生成器(不错的免杀工具)
03-31
汇编语言其实就是机器指令的符号化,从某种程度上看,它只是更容易理解一点的机器指令而已。每一条汇编语句,在汇编时,都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中,我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为:指令+数据。而反汇编的大致过程是:首先会确定指令开始的首地址,然后根据这个指令字判断是哪个汇编语句,然后再将后面的数据反汇编出来。由此,我们可以看到,在这一步的反汇编过程中存在漏洞:如果有人故意将错误的机器指令放在了错误的位置,那反汇编时,就有可能连同后面的数据一起错误地反汇编出来,这样,我们看到的就可能是一个错误的反汇编代码。这就是“指令”,简而言之,指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。
免杀】加指令秒过杀?
m0_68702501的博客
11-18 1152
免杀基础知识教学
免杀指令
07-15 1090
 push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可以任意,注意以下面对应add esp,-1add esp,1
指令免杀
iteye_2140的博客
03-08 637
最近开始研究免杀技术,首先强烈推荐《黑客免杀攻防》一书,作者写的很接地气,非常有实战性的一本教材。我看了之后,对其中的一些思想和用到的技术比较有共鸣,是这段时间难得坚持看的一本书。   免杀中有一种指令技术,意思就是将可执行文件反汇编,然后加入自己写的一串看似没有意义的,但是可以打乱执行顺序,从而不被杀毒软件捕获的一种技术。按照书中开始实战,但是发现有问题。每次用ollydbg加载可执行...
黑客免杀攻防读书笔记15 - 源码免杀、C++壳的编写
weixin_30715523的博客
07-09 486
1、源码免杀 1.1 定位产生特征的源码 定位文件特征 1、根据MyCCL的特征码定位工具,定位出有特征的地址 2、根据VS的反汇编窗口,输入有特征的地址得到特征地址与源码的关系 3、插入MessageBox,然后定位出特征码离哪个MessageBox最近,并在附近以更高密度安插MessageBox,最终定位出产生特征码的源码位置。 定位行为特征 1、启发式检测方法:特征...
<黑客免杀攻防>第二章免杀基础知识 笔记
KD的疯狂实验室
10-30 1126
2.2节提到神经网络用于文件识别
黑客免杀攻防读书笔记2 - 免杀与特征码、其他免杀技术、PE进阶介绍
weixin_30378311的博客
07-14 368
第3章 免杀与特征码 这一章主要讲了一些操作过程。介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具。 VirTest5.0特征码定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyCCL免杀失败的原因。因为某些反病毒软件的扫描器采用的是密码校验和技术,密码校验和指的是将一...
黑客免杀攻防读书笔记18-最终章Anti Rootkit
weixin_30363817的博客
08-13 120
1、免杀技巧的遏制 1.1、PE文件 入口点不在第一个区段或在最后一个区段 入口点处代码附近只有一小段代码 入口点在正常范围之外 入口点为一个无效的值,实际入口点为TLS的入口点 区段名重复或者不属于正常范围 拥有可执行属性的区段数量过多 1.2、程序行为 加载系统DLL 枚举反病毒软件进程的窗口 将自己复制到系统目录 安装SPI(控制网络通信或者另类的方法远程注入DLL文件) 远...
免杀必备-指令
03-21 1552
【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:============================伪装代码部分:============================ mov eax,0040E000push 004153F3push dword ptr
黑客免杀攻防读书笔记01
Eira_H的博客
03-23 338
1.开始免杀的步骤:目标反病毒软件强度如何? 目标反病毒软件有何弱点? 目标反病毒软件使用了什么独特的反病毒技术? 要怎样才能突破它? 待处理的恶意程序是用什么语言写的? 待处理的恶意程序的二进制代码是否已经被混淆或者加密过了? 待处理的恶意程序的使用人群是否广泛?2. intel的特权级别有四层Ring0:底层,内核层,也是操作系统的底层,只供操作系统使用 Ring3:高级层,也就是
程序免杀技术之——指令
人生代码,代码人生。。。
11-19 3734
指令(junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等 。 当然,指令也广泛运用到免杀技术中,不过随着杀毒技术以及虚拟机技术的不断升
黑客免杀攻防学习笔记》——C++设计一个简单的壳2
Traxer的学习之路
12-23 2820
本文中的代码均来自《黑客免杀攻防》,如要转载,需写明来源,请勿用于非法用途,作者对此文章中的代码造成的任何后果不负法律责任。本文接上一篇简单的壳1. 2.加壳部分          写这个部分的时候我自己对于这部分的代码也没有做到很熟悉,因为这部分相对于前一部分来说复杂了许多,后面就会看见。所以我也是通过再次巩固来进一步理解加壳的基本步骤。废话不多说,首先还是从声明部分说起。对了在这之前,最好
[系统安全]《黑客免杀攻防》MFC逆向基础实战
H4ppyD0g的博客
12-25 1902
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
黑客免杀攻防》 软件逆向工程1-3
KD的疯狂实验室
11-16 908
1程序从哪里开始运行?寻找main
免杀汇编教程(汇编指令
zacklin的专栏
03-27 2557
相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改指令,改特征码的技巧和编写自己的指令。    一、免杀必备的汇编知识     push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数
木马免杀指令的写法
03-21 1322
所谓指令就是汇编指令保持堆栈的平衡而胡乱写的 push ebp和pop ebp是废话inc ecx   dec ecx是废话push eax /pop eax是废话add esp,+0c / add esp,-0c是废话push esi /push edipush 415448         -/___PUSH 4021A8         -/   在这段代码中类似这样的操作数可以乱填  A
android免杀应用
最新发布
07-24
然而,一些恶意开发者或黑客可能会开发出能够绕过这些安全机制的免杀应用。 免杀应用通常采用各种技术来隐藏自身的恶意行为,以躲避安卓系统的检测。其中的一种方法是使用代码混淆,即通过修改应用程序的代码结构和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值