【免杀】加花指令秒过杀?

最新推荐文章于 2024-05-01 16:21:50 发布
最新推荐文章于 2024-05-01 16:21:50 发布
阅读量1.2k 收藏 7
点赞数 4
分类专栏: 反汇编 免杀基础 花指令基础 文章标签: 个人开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68702501/article/details/127926333
版权

注:编写花指令需要一定的汇编基础

请看上文[免杀]初·反汇编指令大全_柳六.qi的博客-CSDN博客

---------------------------------------------------------------------------------------------------------------------------------

加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

---------------------------------------------------------------------------------------------------------------------------------

一.什么是花指令?

1.花指令别称乱指令,废指令等。

总得来说花指令就是没有用的汇编指令,对程序运行没有任何影响,但可能会使程序运行有延迟。

如:

sub esp,3
sub esp,-3

二.花指令是干什么的?

1.花指令可以用作 辅助 防破解,免杀等

具体原理:写些废指令迷惑杀软,最后一个指令跳到程序原入口

三.使用花指令的目的

在不影响程序正常运行的情况下,在0区段汇编废指令(操作互相抵消的指令),最后跳到程序入口点,保存后更改程序入口点到花指令添加段。

四.花指令示例

注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp
pop ebp

push eax
pop eax

push esp
pop esp

push 0
push 0

push 10   -------其中数字可以任意,注意与下面对应
push -10

nop   -----------可任意在中间添加
与它等效的:
mov EDI,EDI


add esp,1  -------其中数字可以任意,注意以下面对应
add esp,-1

add esp,1  --------其中数字可以任意,注意以下面对应
sub esp,1 

inc ecx
dec ecx

sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax

add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax

jmp 下一个jmp地址
jmp 下一个地址


push ebp

五.如何编写

1.先把文件拖入PEditor获取入口点(在你确定程序入口点的情况下,然而载入od过后一般开头选中的就是程序的入口点),再把程序拖入od

2.右键选择

 

3.转到0区段,开始编写花指令

如:

push ebp
nop
mov ebp,esp
nop
test esi,esi
jb 原入口点
jge 原入口点
 

以上就是我编写的花指令

记得记住添加花指令的地址

编写完后 右键-保存 

4.更改程序入口点

原理:

冒充入口点使杀软查杀偏向于0区段,由于是废指令,所以是不会报毒,但起到得作用不是那么明显,建议添加完花指令后加一个壳(虚拟或加密入口点的那种壳)

 本期教程到这里就结束了

补充:

改入口点时请保证输入正确,否则程序可能运行失败。

柳六.qi
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
android 加花工具下载,Android 代码混淆并加花
weixin_33166692的博客
05-25 663
APK安全: 代码混淆且加壳防止反编译1、用到的工具jd-gui-0.3.5.windowsdex2jar-0.0.9.15IDAProv6.8C32AsmDexFixerWindowssigntool.zip2、代码混淆并加花加花指令:在Android项目添加一个永不能执行到class;如下。也可以通过proguard-android.txt配置文件配置需要保留的class。参考https:/...
c语言加花指令,指令的应用
weixin_31036949的博客
05-21 1746
原标题:指令的应用 对免杀的影响是非常大的,有效地利用指令可以使免杀工作事半功倍,甚至单凭指令就可以达到免杀的效果。一、指令免杀领域的应用1、指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
安全防御 --- 恶意代码、防病毒
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序,病毒夺取控制权;将病毒程序嵌入感染目标中。
2024年网安最新Re 指令学习_dejunk 指令
最新发布
2401_84301352的博客
05-01 667
因此,插入的指令应当是一些不完整的指令,被插入的不完整指令可以是随机选择的。反编译器的工作原理是,从exe的入口AddressOfEntryPoint处开始,依序扫描字节码,并转换为汇编,比如第一个16进制字节码是0xE8,一般0xE8代表汇编里的CALL指令,且后面跟着的4个字节数据跟地址有关,那么反编译器就读取这一共5个字节,反编译为。顾名思义,可以执行的指令,这部分垃圾代码会在程序运行的时候执行,但是执行这些指令没有任何意义,并不会改变寄存器的值,同时反汇编器也可以正常的反汇编这些指令
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2649
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
给C语言添加花指令,抵御反汇编
闲云野鹤专栏
01-17 1万+
给C语言添加花指令,抵御反汇编   (1)未加花程序 能正确反汇编 原程序: void Function() {   Input++;   Output++;   Input+=Output;   printf("函数结果:%d,%d",Input,Output); } 反汇编代码: IDA: .text:00401096            
指令
程序人生,学海无涯
11-14 1698
指令是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。指令有可能利用各种指令:jmp, call, ret的一些堆栈技巧,位置运算,等等。     【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码: ==========
源码免杀-指令
08-21
3. **免杀技术的应用**:免杀不仅仅局限于指令,还包括其他多种技术,如API混淆、壳代码(Shellcode)隐藏、虚拟机绕过等。这些技术组合使用,可以构建更复杂的免杀策略。例如,使用API混淆技术可以改变函数调用的...
超级加花器(用于免杀,干扰软扫描,防止程序被破解等实用功能)
11-18
【超级加花器】是一种工具,其主要目的是为了提高程序的安全性,通过在代码中插入特定的【指令】来实现免杀效果。免杀,顾名思义,是指让程序能够避开反病毒软件的检测,防止被误判为恶意软件而被清除。这种技术在...
蝴蝶加花器,用于给程序“穿”衣服
11-18
随着毒软件的智能化提升,免杀技术也在不断发展,包括但不限于加花、多态打包、虚拟机绕过等手段。这些技术的使用,使得恶意软件作者可以逃避传统的特征码匹配和行为分析,提高恶意软件的生存能力。 "伪壳"是另一...
免杀工具非法指令添加
05-15
标签“免杀工具 免杀非法指令”进一步强调了这个工具的主要功能和用途,即帮助恶意代码绕过安全检测。在网络安全研究中,了解和研究这些工具的机制,可以帮助开发出更为智能和适应性的防御措施。 综上所述,免杀...
指令添加器,自动添加花指令
08-02
不用你自己麻烦,自动添加花指令,很简单!
怒剑狂1.5-指令免杀工具
05-30
第一种:只跳一次型的指令添加法(指的是跳到oep的那一次)  这种指令一般是以“jmp xxxxxxxx”或者“call xxxxxxxx”结尾(xxxxxxxx就是原OEP地址),这里,我只演示以“jmp xxxxxxxx”结尾的,以vc++6.0这个...
免杀指令
weixin_34106122的博客
09-30 160
今天送上经典指令 注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果. push ebp pop ebp push eax pop eax push esp pop esp push 0 push 0 push 10 -------其中数字可以任意,注意与下面对应 push -10 nop -----------可任意在中间添加 与它等效的: mov EDI...
程序免杀技术之——指令
人生代码,代码人生。。。
11-19 3760
指令(junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等 。 当然,指令也广泛运用到免杀技术中,不过随着毒技术以及虚拟机技术的不断升
OllyDBG 破解入门教程
weixin_33843409的博客
10-11 1303
一、OllyDBG 的安装与配置OllyDBG  版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助:反汇编窗口:显示被调试程序的反汇编代码,...
MSF实战免杀过静态:ShellCode加花指令
xf555er的博客
03-30 1162
第一部分(api_call)是一个通用API调用函数,用于动态查找和调用API。第二部分(reverse_tcp)创建一个反向TCP连接,将本地机器连接到攻击者的监听器。第三部分(recv)负责接收并执行第二阶段Payload。这三部分共同实现了一段完整的Shellcode,用于反向连接攻击者机器并执行远程指令
汇编64位无法生成可用exe_免杀常用的汇编指令有哪些?如何等价替换汇编指令实现免杀?...
weixin_34551660的博客
01-27 541
一、 什么是PE文件? 在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个".xls"文件其前两个字节为:0XD0 0XCF;打开一个"...
黑客主要术语——整理
热门推荐
badman250的专栏
11-16 3万+
黑客主要术语——整理 1.  肉鸡    “肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。  2.  木马 那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷
xss代码又像木马那样的免杀操作吗,比如给木马说添加花指令
06-02
XSS代码并不像木马那样的免杀操作,因为XSS攻击是利用Web应用程序的漏洞而进行的攻击,而木马则是一种恶意软件,通常会在被感染的计算机上运行并执行恶意操作。...至于添加花指令,这也不是一个常见的免杀操作方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值