加花总结

直接加花法：
1：先记下原入口点
2：找一个0区域，并且记下地址(最好在0区域开头的下二行写。如果紧靠着正确命令写有时可能出错）
3：在开头写一些花指令 ，然后JPM跳到入口！
4：选出修改和加的那些花指令（多选出一块）
   右键---复制到可执行文件----选择部分-----保存文件！
5：用LPE改入口点！
6：用OD看一下。是不是成功改成了！

去头加花法：
1：复制前三到N行，并复制到剪切板，并且记录下来！
2：记录要跳转到的地方，也就是记录那几条下面的地址（一会要跳回来用！）
3：把复制到剪切板那几句用 二进制-----用NOP填冲！
4：找0区域，并记下新入口点，并写上NOP掉的那几句，然后加花，然后跳到原
   来地址下面的地址！
5：先选一部分-------复制到可执行文件-------全部修正-----全部复制------  
   -保存文件
6：用LPE修改入口点！并且用OD打开查看是否成功！

加区加花法：

1:用工具加一个区段，并用PE 区段查看找到起始地址
2：用LPE写新入口点,一般在新的区段后面10个字写。所以新入口地址后面+10
3:写入花指令，push 原入口点  retn
4:右键---复制到可执行文件----选择部分-----保存文件！

狂花乱舞（到处乱跳转）：
1： 记下原入口点，和新入口点
2： 多找几个0区域，或是自己加个
3：在新入口点加花。然后跳到下一个0区域。
4：接着加花。重复上面做的N次（依个人爱好）
5：最后一跳到0区域后。写完花指令跳到入口点
6：先选一部分-------复制到可执行文件-------全部修正-----全部复制------  
   -保存文件
烂花乱飞（加区加花）：
1：加N个区
2：找到这些区的地址，并且至少加10做为开头写的地方（用OD的查看———内存找比较省事）
3：用call 到加的那几个区的入口点
4：然后Jmp 跳到程序的入口点。
5：右键---复制到可执行文件----选择部分-----保存文件！
6：改程序入口点。改为新的入口点！改为第一个call的地址
7：用OD找开。并找到call的第一个地址。在那写花指令 最后用 retn回到主程序
8：右键---复制到可执行文件----选择部分-----保存文件！
9：再打开。CALL第二个地址。在那写花指令
10：右键---复制到可执行文件----选择部分-----保存文件！
一句话花指令：
最简单也是最容易被杀的。直接找0区域写JPM跳转。。。。。。。保存文件
然后改为那个0区域地址就OK了！


注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp
pop ebp

push eax
pop eax

push esp
pop esp

push 0
push 0

push 10   -------其中数字可以任意,注意与下面对应
push -10

nop   -----------可任意在中间添加
与它等效的:
mov EDI,EDI


add esp,1  -------其中数字可以任意,注意以下面对应
add esp,-1

add esp,1  --------其中数字可以任意,注意以下面对应
sub esp,1

inc ecx
dec ecx

sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax

add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax

jmp 下一个jmp地址
jmp 下一个地址


push ebp
mov ebp,esp -------可做为花指令的开头句



jmp 入口地址  ------跳到程序入口地址
与它效果一样的还有(以下三个):

push 入口地址
retn

jb  入口地址
jnb 入口地址

mov eax,入口地址
jmp eax