注:编写花指令需要一定的汇编基础
请看上文[免杀]初·反汇编指令大全_柳六.qi的博客-CSDN博客
---------------------------------------------------------------------------------------------------------------------------------
加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
---------------------------------------------------------------------------------------------------------------------------------
一.什么是花指令?
1.花指令别称乱指令,废指令等。
总得来说花指令就是没有用的汇编指令,对程序运行没有任何影响,但可能会使程序运行有延迟。
如:
sub esp,3
sub esp,-3
二.花指令是干什么的?
1.花指令可以用作 辅助 防破解,免杀等
具体原理:写些废指令迷惑杀软,最后一个指令跳到程序原入口
三.使用花指令的目的
在不影响程序正常运行的情况下,在0区段汇编废指令(操作互相抵消的指令),最后跳到程序入口点,保存后更改程序入口点到花指令添加段。
四.花指令示例
注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
与它等效的:
mov EDI,EDI
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
五.如何编写
1.先把文件拖入PEditor获取入口点(在你确定程序入口点的情况下,然而载入od过后一般开头选中的就是程序的入口点),再把程序拖入od
2.右键选择
3.转到0区段,开始编写花指令
如:
push ebp
nop
mov ebp,esp
nop
test esi,esi
jb 原入口点
jge 原入口点
以上就是我编写的花指令
记得记住添加花指令的地址
编写完后 右键-保存
4.更改程序入口点
原理:
冒充入口点使杀软查杀偏向于0区段,由于是废指令,所以是不会报毒,但起到得作用不是那么明显,建议添加完花指令后加一个壳(虚拟或加密入口点的那种壳)
本期教程到这里就结束了
补充:
改入口点时请保证输入正确,否则程序可能运行失败。