免杀1.0免杀基础(汇编)

最新推荐文章于 2024-05-19 13:30:00 发布
最新推荐文章于 2024-05-19 13:30:00 发布
阅读量130 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/claidx/p/7354599.html
版权

跟多网络技术文章去

成都小生网络:http://www.claidx.com

 

 

1.1 寄存器
寄存器其实是一个统称,是一些CPU芯片里用于快速计算的小型存储器,寄存器其实是通用的,但还是有一些约定。(计算机组成原理)

eax:拓展累加寄存器;
ecx:循环计数器;
edx:数据寄存器;
ebx:基址寄存器;

esp:栈顶;
ebp:栈底;
栈:数据结构中一种存储数据方式,可以看成是竖着的容器,先进先出
esi:拓展目地指针;
edi:拓展目地指针;
eip:指令指针。

1.2 汇编指令初识
利用ollydbg认识汇编指令,汇编语言其实就是“助记符”

1.3 汇编指令种类及举例
汇编指令有5类:
1.数据传输指令:mov
2.逻辑计算指令:add
3.串操作指令:movs
4.控制转移指令:jmp
5.处理器控制指令:nop
1,2,4类指令对免杀有用

1.4 常用免杀汇编指令必备
mov ebp,9:传送指令
push ebp :进栈指令
pop ebp :出栈指令
add esp,8 :加法指令
sub esp,8 :减法指令
inc ecx :增量指令
dec ecx :减量指令
jmp 00000001 :无条件跳转指令
call 00000001 :调用指令

xchg      交换指令

pushad      压栈8个寄存器

popad       弹出8个寄存器(先进后出)

1.5 汇编指令与十六进制代码对照、汇编指令等价对照(等价替换)

 

 

OD 输入表隐藏

60 E8 01 00 00 00 00 58 80 38 00 0F 85 F5 00 00 00 FE 00 64 A1 30 00 00 00 8B 40 0C 8B 40 1C 8B 00
8B 40 08 8B D8 E8 0F 00 00 00 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 59 60 89 C3 89 CF 30
C0 AE 75 FD 4F 29 CF 87 F9 8B 43 3C 8B 74 03 78 8D 74 1E 18 AD 92 AD 50 AD 95 AD 95 01 D8 89 7C
24 18 89 4C 24 14 4A 74 27 8B 34 90 01 DE F3 A6 74 0A 8B 7C 24 18 8B 4C 24 14 EB EA D1 E2 01 D5
0F B7 44 1D 00 C1 E0 02 03 04 24 8B 04 03 01 D8 59 89 44 24 1C 89 5C 24 18 E8 12 00 00 00 00 00
00 00 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 00 59 83 C1 04 51 53 FF D0 89 44 24 14 E8 00 00 00
00 5D 81 E5 00 00 FF FF 33 C0 EB 06 81 ED 00 10 00 00 66 8B 45 00 66 3D 4D 5A 90 75 EF 8B 45 3C
8B 04 28 3D 50 45 00 00 75 E2 B8 48 61 11 00 36 8D 1C 28 8B 43 0C 85 C0 74 0A E8 0D 00 00 00 83
C3 14 EB EF 61 E9 82 8F F9 FF 90 90 53 8D 14 28 52 FF 54 24 20 8B D0 8B 5B 10 8D 1C 2B 8B 03 85
C0 74 23 3D 00 00 00 80 72 07 2D 00 00 00 80 EB 06 8D 04 28 83 C0 02 52 50 52 FF 54 24 30 89 03
83 C3 04 5A EB D7 5B C3

加个新区段

JMP 0042c08d 修改为 jmp 入口点
MOV EAX,116148 修改为mov 输入表rva
lordpe修改代码开始位置为入口点,输入表改成00000,00000

 

 

 输入表隐藏加密

先输入表隐藏
加密代码:

 
  
 pushad     ← ← ← ← ← ← ← ← ← ← ┓
 mov ebx,加密区段的起始位置        ↑
 xor byte ptr ds:[ebx],33        ↑
 inc ebx                         ↑
 cmp ebx,加密区段末位置            ↑
 jb 跳到xor byte ptr ds:[ebx],33  ↑
 popad                           ↑
 jmp 入口点                       ↑
lordpe 修改文件新的入口点  →→→→→→→┛
 
 
 
 
 
 
 
 
 
 
定位云引擎---预处理
 
 
改入口
加花
区段合并
加壳再拖壳 PE结构 
输入表隐藏
输入表加密
输入表重建
区段加密
资源改变
改变资源名称
修改生成的资源名称
修改MD5
添加数字签名 qvm 04 08
在不影响程序运行的情况下,加区段
可以填充输入表,再定位
定位------multiccl保护
 VirusFixedPosition
 myccl
 
 
 
 
 
360云:
 
 
变异入口点,移动pe头
 
 
 
 
 
 
 
 
 非法使用寄存器:
 
 
空白区
 
 
二进制编辑:d9 de df db
 
 
 (FSTP ESI)         ← ← ← ← ← ← ← ← ← ← ┓
 
 
(FISTP EBX)                ↑
 
 
CALL 入口点               ↑
 
 
修改入口点到   →→→→→→→→→→→→→┛
 
 
 
 
 
 
 
 
跟多网络技术文章去 http://t.cn/EaBJygK
 

 

转载于:https://www.cnblogs.com/claidx/p/7354599.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30808575
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
免杀(必备汇编基础_壹)

				
			

			

				

					云都小生
				

				

					05-26
					
					1328
					
				

			

		

		

			
				
汇编又作为一门必学的基础出现~
 总之,汇编真的是很重要很重要。关于汇编的概述我们这里不多讲,但是要想更好的学习编程,还有诸如破解之类的技术,汇编是必备的基础,大神必啃。
    寄存器:顾名思义,寄存器就是暂时存储数据的地方,寄存器被设计在CPU内部,对于一个汇编程序员来说,CPU中最主要的部分就是寄存器了。寄存器是程序员能通过指令读写的部件,程序员通过改变寄存器的值间接的控制CPU。现在我

			
		

	



                

              
                



	

		

			

				
					
免杀汇编基础免杀汇编基础.免杀汇编基础.

				
			

			

				

					07-31
				

			

		

		

			
				
免杀汇编基础.免杀汇编基础.免杀汇编基础.免杀汇编基础.免杀汇编基础.

			
		

	



                


  
              

                


	

		

			

				
					
汇编64讲 视频教程(搞免杀、破解必看)

				
			

			

				

					rjgcwl的专栏
				

				

					01-15
					
					946
					
				

			

		

		

			
				
 汇编64讲 视频教程(搞免杀、破解必看)                                    希望大家喜欢!每个课程有1个小时学完包你会免杀,免的出神入画.....-_-!http://219.144.186.220/hbywjjk/下载地址(也可以在线观看)mms://221.11.20.228/hbywjjk/1/000.asfmms://221

			
		

	





	

		

			

				
					
【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了

					
最新发布

				
			

			

				

					Python栈
				

				

					05-19
					
					1150
					
				

			

		

		

			
				
小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后。

			
		

	



		

			
		



	

		

			

				
					
汇编"免杀"基础知识

				
			

			

				

					www.pingfi.com
				

				

					10-02
					
					1411
					
				

			

		

		

			
				
一.机械码,又称机器码.ultraedit打开,编辑exe文件时你会看到许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码就是机器码.修改程序时必须通过修改机器码来修改exe文件.二.需要熟练掌握的全部汇编知识(只有这么多)不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了cmp a,b 比较a与bmov a,b 把b的值送给aret 返回主

			
		

	





	

		

			

				
					
汇编语言超浓缩教程

				
			

			

				

					
				

				

					07-07
					
					1572
					
				

			

		

		

			
				
对初学者而言,汇编的许多命令太复杂,往往学习很长时间也写不出一个漂漂亮亮的程序,以致妨碍了我们学习汇编的兴趣,不少人就此放弃。所以我个人看法学汇编,不一定要写程序,写程序确实不是汇编的强项,大家不妨玩玩DEBUG,有时CRACK出一个小软件比完成一个程序更有成就感(就像学电脑先玩游戏一样)。某些高深的指令事实上只对有经验的汇编程序员有用,对我们而言,太过高深了。为了使学习汇编语言有个好的开始,你必

			
		

	





	

		

			

				
					
很强大的的加密免杀工具

				
			

			

				

					11-07
				

			

		

		

			
				
熟练掌握各种编程语言,如C、C++、Python、Java等,以及逆向工程和汇编语言,是构建高效免杀工具的基础。  压缩包中的Malware MultiTool [by V1rtualGh0st](1)可能是一个集合多种免杀技术的工具集,由V1rtualGh0st这...

			
		

	





	

		

			

				
					
免杀汇编知识

				
			

			

				

					07-07
				

			

		

		

			
				
8080汇编手册 免杀

			
		

	





	

		

			

				
					
汇编指令免杀替换查询器

				
			

			

				

					11-27
				

			

		

		

			
				
汇编指令免杀替换查询器

			
		

	





	

		

			

				
					
源码免杀-花指令

				
			

			

				

					08-21
				

			

		

		

			
				
【源码免杀-花指令】这一主题涉及的是在编程领域中如何通过特定技术来避免恶意软件检测,尤其是针对Delphi编写的程序。免杀(Anti-Virus Evasion)是黑客和安全研究人员关注的一个重要领域,它涉及到如何让恶意代码...

			
		

	





	

		

			

				
					
木马免杀基础知识详解

				
			

			

				

					02-23
				

			

		

		

			
				
本文将详细介绍木马免杀基础知识,包括免杀的概论、免杀方法、免杀术语、学习方法等方面的内容。  免杀概论 ----------  免杀是指通过各种方法让我们的程序达到不被杀毒软件查杀的目的。免杀的目的就是让我们的...

			
		

	





	

		

			

				
					
免杀入门、汇编基础、杀毒趋势

				
			

			

				

					10-31
				

			

		

		

			
				
免杀介绍
汇编基础教程(浓缩)
8088汇编手册
经典花指令参考
定位修改与免杀
sys文件简单免杀
asp马免杀
杀毒趋势
主动防御介绍

本文档转自-----

本电子书收集了一些经典的免杀文章以及个人心得...
新手朋友们可以根据本电子书快速入门学免杀技术了...
以后还可能会出适合已经入门朋友们的高级篇免杀电子书.包括行为,专杀,高级启发的免杀

作者: king   QQ:520004949

			
		

	





	

		

			

				
					
免杀汇编教程(汇编花指令)

				
			

			

				

					zacklin的专栏
				

				

					03-27
					
					2596
					
				

			

		

		

			
				
相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。 
  一、免杀必备的汇编知识
 
  push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数

			
		

	





	

		

			

				
					
[免杀]初·反汇编指令大全

				
			

			

				

					m0_68702501的博客
				

				

					11-18
					
					823
					
				

			

		

		

			
				
汇编入门,汇编指令大全

			
		

	





	

		

			

				
					
汇编 cmp_免杀常用的汇编指令有哪些?如何等价替换汇编指令实现免杀

				
			

			

				

					weixin_39939918的博客
				

				

					12-15
					
					924
					
				

			

		

		

			
				
一、 什么是PE文件? 在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个".xls"文件其前两个字节为:0XD0 0XCF;打开一个"...

			
		

	





	

		

			

				
					
一文带你学会0编程基础做木马免杀

				
			

			

				

					hackzkaq的博客
				

				

					08-17
					
					758
					
				

			

		

		

			
				
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一


作者:掌控安全-骚骑

背景
之前分享了个免杀入门文,很浅显,比较适合小白看…
文章在社区,地址我放在这了,有兴趣可以一戳:
https://bbs.zkaq.cn/t/4456.html  (ps:社区邀请码可以文末扫码找助教领取,社区投稿还有钱赚)
这次实实在在写一个,能过微软自带def,火绒,卡巴这些!
一、0x01环境
靶机:
IP:192.168.111.10
杀软:火绒,360,卡巴,微软def
本机:
IP:192.168.

			
		

	





	

		

			

				
					
免杀的艺术:史上最全的汇编Shellcode的技巧(三)

				
			

			

				

					weixin_33759269的博客
				

				

					09-20
					
					765
					
				

			

		

		

			
				
本文讲的是免杀的艺术:史上最全的汇编Shellcode的技巧(三),

我们在上一篇提到要要自定义shellcode,不过由于这是个复杂的过程,我们只能专门写一篇了,本文,我们将会给大家介绍shellcode的基本概念,shellcode在编码器及解码器中的汇编以及几种绕过安全检测的解决方案,例如如何绕过微软的 EMET(一款用以减少软件漏洞被利用的安全...

			
		

	





	

		

			

				
					
内联汇编很可怕吗?看完这篇文章,终结它!

				
			

			

				

					IOT物联网小镇
				

				

					04-27
					
					796
					
				

			

		

		

			
				
文章目录一、基本 asm 格式1. 语法规则2. test1.c 插入空指令3. test2.c 操作全局变量4. test3.c 尝试操作局部变量二、扩展 asm 格式1. 指令格式2. 输出和输入操作数列表的格式3. test4.c 通过寄存器操作局部变量4. test5.c 声明改动的寄存器三、使用占位符来代替寄存器名称1. test6.c 使用占位符代替寄存器2. test7.c 给寄存器起别名四、使用内存地址1. test8.c 使用内存地址来操作数据五、总结
在 Linux 代码中,经常可以看到

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值