花指令含义

push ebp ----把基址指针寄存器压入堆栈

pop ebp ----把基址指针寄存器弹出堆栈


push eax ----把数据寄存器压入堆栈

pop eax ----把数据寄存器弹出堆栈


nop           -----不执行


dd esp,1-----指针寄存器加1

sub esp,1-----指针寄存器减1


inc ecx    -----计数器加1

dec ecx    -----计数器减1

sub esp,1 ----指针寄存器加1

sub esp,-1----指针寄存器加-1

jmp 入口地址    ------跳到程序入口地址

与它效果一样的还有(以下三个):

         push 入口地址

         retn


jb    入口地址

jnb 入口地址


             mov eax,入口地址

            jmp eax


jmp 入口地址----跳到程序入口地址

            push 入口地址---把入口地址压入堆栈

            retn           ------ 反回到入口地址,效果与jmp 入口地址一样.

mov eax,入口地址 ------把入口地址转送到数据寄存器中.  

jmp eax           ----- 跳到程序入口地址  

            jb 入口地址

            jnb 入口地址    ------效果和jmp 入口地址一样,直接跳到程序入口地址.


                              四.免杀花指令编写手册:

                                              注:以后编写花指令,都可以参考本手册,灵活组合,快速写出自己的花指令.

                ************************************************************* ******
            push ebp

            pop ebp

            push eax

            pop eax

            push esp

            pop esp

            push 0

            push 0

            push 10    -------其中数字可以任意,注意与下面对应

            push -10

            nop    -----------可任意在中间添加

             move edi,edi ----效果与nop一样

         add esp,1    -------其中数字可以任意,注意以下面对应

         add esp,-1

             add esp,1    --------其中数字可以任意,注意以下面对应

            sub esp,1

             inc ecx

         dec ecx

         sub eax,2 ----------其中数字可任意,与inc的个数对应

         inc eax

             inc eax

         add eax 2 ----------其中数字可任意,与dec的个数对应

         dec ecx

         dec ecx

         jmp 下一个jmp地址

             jmp 下一个地址

             push ebp

                mov ebp,esp -------可做为花指令的开头句

             jmp 入口地址    ------跳到程序入口地址

         与它效果一样的还有(以下三个):

push 入口地址

retn


jb    入口地址

jnb 入口地址


mov eax,入口地址

jmp eax


在写花指令的时候,最好先提取好成对的花指令,然后在随便打乱顺序,这样能更好的达到免杀效果,还有在

最后跳转到原始入口点的时候 最好不要用 jmp 语句,以为卡巴对这个查的很严,即使你的花指令免杀了,

到最后你用jmp跳转,卡巴也会把你的马马杀掉. 最好用 push 搭配 retn 来使用 .效果是一样的