免杀必备-花指令

最新推荐文章于 2022-11-18 18:05:10 发布
最新推荐文章于 2022-11-18 18:05:10 发布
阅读量1.5k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: byte server 汇编 microsoft vc++ c

【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:
============================
伪装代码部分:
============================

mov eax,0040E000
push 004153F3
push dword ptr fs:[0]
mov dword ptr fs:[0],esp
pushfw
pushad
push eax
xor ebx,ebx
pop eax
popad
popfw
pop dword ptr fs:[0]
pop eax
jmp XXXXXXXX '执行到程序的原有OEP

============================

【深层】伪装 WCRT Library (Visual C++) DLL Method 1 -> Jibz 二进制代码 + 汇编代码:
============================
伪装代码部分:
============================

使用二进制粘贴以下代码:

55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59

粘贴完毕后,再添加2行汇编语句:

jmp XXXXXXXX '执行到程序的原有OEP
retn 0C

============================


从哓哓免杀上兴2006里提出的花指令
1320F01D . 0000 add byte ptr ds:[eax],al
1320F01F . 0055 8B add byte ptr ss:[ebp-75],dl
1320F022 . EC in al,dx
1320F023 . 6A FF push -1
1320F025 . 68 22222200 push 222222
1320F02A . 68 44444400 push 444444 ; SE handler installation
1320F02F . 64:A1 00000000 mov eax,dword ptr fs:[0]
1320F035 . 50 push eax
1320F036 . 64:8925 00000000 mov dword ptr fs:[0],esp
1320F03D . 58 pop eax
1320F03E . 64:A3 00000000 mov dword ptr fs:[0],eax
1320F044 . 58 pop eax
1320F045 . 58 pop eax
1320F046 . 58 pop eax
1320F047 . 58 pop eax
1320F048 . 58 pop eax
1320F049 . 74 0A je short Server__.1320F055
1320F04B . 75 08 jnz short Server__.1320F055
1320F04D . 90 nop
1320F04E . 90 nop
1320F04F . 90 nop
1320F050 . 90 nop
1320F051 . 90 nop
1320F052 . 90 nop
1320F053 . 90 nop
1320F054 . 90 nop
1320F055 > 90 nop
1320F056 . E2 04 loopd short Server__.1320F05C
1320F058 . 90 nop
1320F059 . 90 nop
1320F05A . 90 nop
1320F05B . 90 nop
1320F05C > 90 nop
1320F05D .^ 0F82 DD8FFDFF jb Server__.131E8040
1320F063 .^ 0F83 D78FFDFF jnb Server__.131E8040








花指令


add byte ptr ds:[eax+9018EB90],dl db 0e8h
--------------------------------------------------------------------
C:
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 文件头

——————————————————————————————————


另一种:
新入口地址:

push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop 某一处

某一处:
nop
jmp j1

j1: jmp j2
nop
..............
jmp jn
jn: jmp 老入口地址
-----------------------------------------------------------------------------------
VC++程序的入口代码:
PUSH EBP
MOV EBP,ESP
PUSH -1
push 415448 -/___
PUSH 4021A8 -/ 在这段代码中类似这样的操作数可以乱填
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
ADD BYTE PTR DS:[EAX],AL /这条指令可以不要!
jmp 跳转到程序原来的入口点
----------------------------------------------------------------------------
Microsoft Visual C++ 6.0
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口

-----------------------------------------------------------------------------------
VC++程序的入口代码:
PUSH EBP
MOV EBP,ESP
PUSH -1
push 415448
PUSH 4021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
ADD BYTE PTR DS:[EAX],AL /这条指令可以不要!
jo 00401000 /原入口
jno 00401000 /原入口
db 0e8h /花代
_______________________-------------------------------------------
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loopd short 1
nop
nop
jmp short 2
nop
jmp short 3
nop
jmp short 4
jmp
----------------------------------------------------------------
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loopd
nop
nop


add byte ptr ds:[eax+9018EB90],dl
-----------------------------------------------------------
浩天花
PUSH EBP
MOV EBP,ESP
nop
nop
PUSH -1
nop
nop
push 515448
nop
nop
PUSH 6021A8
nop
nop
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
nop
nop
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS: ,ESP
nop
nop
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS: ,ESP
nop
nop
mov eax,fs:[0]
push eax
mov fs:[0],esp
nop
nop
inc ecx
push eax
pop eax
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
nop
nop
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳转到程序原来的入口点
--------------------------------------------------------------------

防杀精灵终极防杀代码
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
jmp


花指令:【深层】伪装 WWPack32 1.x -> Piotr Warezak 汇编代码:
============================
伪装代码部分:
============================


CODE:
push ebx
push ebp
mov ebp,eax
xor ebx,ebx
jmp short NOTEPAD2.01013068
or eax,570A0D0A
push edi
push eax
popad
arpl word ptr ds:[ebx+33],bp
xor al,byte ptr ds:[eax]
[Copy to clipboard]


...........(中间代码随意填写,但保证地址是有效的)

来到01013068处,地址修改为:

jmp XXXXXXXX     '执行到程序的原有OEP

 
iiprogram
关注
专栏目录
源码免杀-指令
08-21
含源码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的源代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。
指令
weixin_34310127的博客
07-03 346
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文能够不经作者允许随意转载、复制、引用。但不论什么对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能非常多人都听说过指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是指令?它的原理是什么?二、在什么地...
免杀指令
weixin_34106122的博客
09-30 169
今天送上经典指令 注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果. push ebp pop ebp push eax pop eax push esp pop esp push 0 push 0 push 10 -------其中数字可以任意,注意与下面对应 push -10 nop -----------可任意在中间添加 与它等效的: mov EDI...
免杀指令
07-15 1114
 push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可以任意,注意以下面对应add esp,-1add esp,1
免杀必备工具 PEID MYCCL ASM
07-25
免杀必备工具 PEID MYCCL ASM】是针对计算机安全领域中的一种技术,主要用于软件免受杀毒软件检测和清除。在网络安全中,免杀技术是恶意软件开发者用来逃避安全软件检测的一种策略,而PEID、MYCCL和ASM则是这类...
oc免杀必备工具 配合od 等其他工具使用
10-29
标题提到的“oc免杀必备工具”是针对这种需求的一种实用资源,它可能包含了一系列工具,用于帮助开发者或安全研究人员优化代码,使其在运行时不易被反病毒软件识别为恶意程序。这里的"oc"可能是Objective-C的简称,...
破晓指令免杀制造机
12-04
破晓指令免杀制造机是制作免杀必备工具。加。处理后文件可以免杀,躲过杀软的追杀。
免杀必备工具cs32asm
03-03
免杀必备工具cs32asm】是一款在IT安全领域中广泛应用的工具,主要用于对抗恶意软件检测系统的特征码识别。在网络安全中,"免杀"(Evasion)是指通过各种技术手段使恶意软件避开安全软件的检测,从而实现其隐蔽运行...
免杀指令生成器(不错的免杀工具)
03-31
汇编语言其实就是机器指令的符号化,从某种程度上看,它只是更容易理解一点的机器指令而已。每一条汇编语句,在汇编时,都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中,我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编汇编代码。机器的一般格式为:指令+数据。而反汇编的大致过程是:首先会确定指令开始的首地址,然后根据这个指令字判断是哪个汇编语句,然后再将后面的数据反汇编出来。由此,我们可以看到,在这一步的反汇编过程中存在漏洞:如果有人故意将错误的机器指令放在了错误的位置,那反汇编时,就有可能连同后面的数据一起错误地反汇编出来,这样,我们看到的就可能是一个错误的反汇编代码。这就是“指令”,简而言之,指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。
程序免杀技术之——指令
人生代码,代码人生。。。
11-19 3800
指令(junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等 。 当然,指令也广泛运用到免杀技术中,不过随着杀毒技术以及虚拟机技术的不断升
c语言免杀指令大全,免杀指令
weixin_36219745的博客
05-18 896
今天送上经典指令注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果.push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可...
免杀】加指令秒过杀?
最新发布
m0_68702501的博客
11-18 1348
免杀基础知识教学
<黑客免杀攻防>第五章 指令免杀 读书笔记
KD的疯狂实验室
11-04 1066
为了保护真正的果实,所以使用朵是别人迷惑.
免杀简述1(指令/改特征码/shellcode加载器)
热门推荐
Shanfenglan's blog
08-09 34万+
杀毒软件查杀思路 杀软常见扫描方式与技术 1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。 3、修复技术:即是对恶意程序所损坏的文件进行还原 4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。 5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。 6、全盘扫描:扫描电脑全部磁盘,耗时较长。7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。 8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不
指令原理
注重长远 天天积累 cqujsjcyj
09-29 602
  转自:http://hi.baidu.com/zhangjw918/blog/item/c69a7943e16de1189213c62f.html       第一个免杀指令生成器--不简单的免杀工具(图) 陆续将以前发表在杂志的文章放上来~,发表于《黑客X档案》,第几期忘了,呵呵   前言   相信做过免杀的朋友都知道指令吧。加指令是一种不错的文件免杀方法,而网上...
8086加法指令ADD-8086指令系统详解
8086的加法指令ADD是该16位微处理器核心指令系统中的基础组成部分,它用于将源操作数与目的操作数相加,并将结果存储在目的操作数处。...熟练掌握这些指令及其特性,是开发基于8086处理器的应用程序的必备技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值