加花总结

直接加花法:
1:先记下原入口点
2:找一个0区域,并且记下地址(最好在0区域开头的下二行写。如果紧靠着正确命令写有时可能出错)
3:在开头写一些花指令 ,然后JPM跳到入口!
4:选出修改和加的那些花指令(多选出一块)
   右键---复制到可执行文件----选择部分-----保存文件!
5:用LPE改入口点!
6:用OD看一下。是不是成功改成了!

去头加花法:
1:复制前三到N行,并复制到剪切板,并且记录下来!
2:记录要跳转到的地方,也就是记录那几条下面的地址(一会要跳回来用!)
3:把复制到剪切板那几句用 二进制-----用NOP填冲!
4:找0区域,并记下新入口点,并写上NOP掉的那几句,然后加花,然后跳到原
   来地址下面的地址!
5:先选一部分-------复制到可执行文件-------全部修正-----全部复制------  
   -保存文件
6:用LPE修改入口点!并且用OD打开查看是否成功!

加区加花法:

1:用工具加一个区段,并用PE 区段查看找到起始地址
2:用LPE写新入口点,一般在新的区段后面10个字写。所以新入口地址后面+10
3:写入花指令,push 原入口点  retn
4:右键---复制到可执行文件----选择部分-----保存文件!

狂花乱舞(到处乱跳转):
1: 记下原入口点,和新入口点
2: 多找几个0区域,或是自己加个
3:在新入口点加花。然后跳到下一个0区域。
4:接着加花。重复上面做的N次(依个人爱好)
5:最后一跳到0区域后。写完花指令跳到入口点
6:先选一部分-------复制到可执行文件-------全部修正-----全部复制------  
   -保存文件
烂花乱飞(加区加花):
1:加N个区
2:找到这些区的地址,并且至少加10做为开头写的地方(用OD的查看———内存找比较省事)
3:用call 到加的那几个区的入口点
4:然后Jmp 跳到程序的入口点。
5:右键---复制到可执行文件----选择部分-----保存文件!
6:改程序入口点。改为新的入口点!改为第一个call的地址
7:用OD找开。并找到call的第一个地址。在那写花指令 最后用 retn回到主程序
8:右键---复制到可执行文件----选择部分-----保存文件!
9:再打开。CALL第二个地址。在那写花指令
10:右键---复制到可执行文件----选择部分-----保存文件!
一句话花指令:
最简单也是最容易被杀的。直接找0区域写JPM跳转。。。。。。。保存文件
然后改为那个0区域地址就OK了!


注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp
pop ebp

push eax
pop eax

push esp
pop esp

push 0
push 0

push 10   -------其中数字可以任意,注意与下面对应
push -10

nop   -----------可任意在中间添加
与它等效的:
mov EDI,EDI


add esp,1  -------其中数字可以任意,注意以下面对应
add esp,-1

add esp,1  --------其中数字可以任意,注意以下面对应
sub esp,1

inc ecx
dec ecx

sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax

add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax

jmp 下一个jmp地址
jmp 下一个地址


push ebp
mov ebp,esp -------可做为花指令的开头句



jmp 入口地址  ------跳到程序入口地址
与它效果一样的还有(以下三个):

push 入口地址
retn

jb  入口地址
jnb 入口地址

mov eax,入口地址
jmp eax
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值