大家好!我是情殇 !今天我给大家带来的是免杀——之花指令篇
教菜鸟如何制作自己的花指令 那大家就要问了 什么是花指令?
其实花指令就是一段汇编指令组成,说句不好听的就是 一句一句的废话。
没有实际意义!
加花就是,在程序汇编中,加了一些无用的废话,用来扰乱杀软对特征码的扫描对比,来达到免杀的目的。加花主要用于表面免杀,加花指令它没有改变特征码的位置,但是他改变了程序执行顺序,有的也能改变文件结构。使杀毒软件扫描的时候跳到花指令处,
即判断没有病毒 ,一般情况在文件免杀的时候,加花指令是最简单、有效的方法。前提是你的花指令不常用 最好是自己写出来的花指令。好了!不懂汇编的多看下8088 汇编速查手册 我会打包给大家
加花指令.原则:保持堆栈的平衡。下面我把一些常用的汇编指令写下来了
我们来分析下
push ebp ----把基址指针寄存器压入堆栈
pop ebp ----把基址指针寄存器弹出堆栈
push eax ----把数据寄存器压入堆栈
pop eax ----把数据寄存器弹出堆栈
nop -----不执行
add esp,1-----指针寄存器加1
sub esp,-1-----指针寄存器加1
add esp,-1--------指针寄存器减1
sub esp,1-----指针寄存器减1
inc ecx -----计数器加1
dec ecx -----计数器减1
sub esp,1 ----指针寄存器-1
sub esp,-1----指针寄存器加1
jmp 入口地址----跳到程序入口地址
push 入口地址---把入口地址压入堆栈
retn ------ 反回到入口地址,效果与jmp 入口地址一样.
mov eax,入口地址 ------把入口地址转送到数据寄存器中.
jmp eax ----- 跳到程序入口地址
jb 入口地址
jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址.
xor eax,eax 寄存器EAX清0
CALL 空白命令的地址 无效call
我们在写一段吧
下面就是2段花指令样本
(1)
push ebp
mov ebp esp
add esp ,68
sub esp ,68
nop
nop
inc ecx
dec ecx
inc ecx
dec ecx
add esp ,12
sub esp ,12
push eax
pop eax
add esp ,1
sub esp ,1
push edi
pop edi
add esp ,32
sub esp ,32
jmp 跳回入口点
(2)
mov ebp,esp
push ebp
nop
add esp,-0C
add esp,0C
nop
mov eax,原入口
push eax
retn
好我们回来!
好了!理论就讲到这下面才是正题今天用到的工具有
1 汉化过加区段工具zeroadd.exe
2 OLLYDBG.EXE
3 LordPE.exe
4 iexpress
5 KaOs undetecter
6 ASProtect
就这几款工具没有的话可以到我的E盘去下http://chenyongweb.ys168.com
下面这段就是我自己写的一段 很长!不过要知道花指令越长越乱越有效。
好了大家看我操作
我们配置个鸽子生成服务端,然后用 加区段工具zeroadd.exe 加区段
然后用OD载入把下面的花指令写进去
当然也可以用其他的加花工具 不过就是免杀不长罢了!这里就死我们的加的区段
push ebp
mov ebp,esp
sub eax,2
dec eax
dec eax
nop
nop
inc ecx
dec ecx
add esp,5
add esp,-5
nop
nop
push 11
push -11
push eax
pop eax
nop
nop
add esp 21
add esp -21
push edi
pop edi
inc ecx
dec ecx
ja 原入口地址
jb 原入口地址
原入口 004A1E48
找到我们加区段的地方
区段:004C2000
我们用LordPE.exe 改下入口点 我们看下能不能上线
好正常上线.先用瑞星杀下看看好 guo l一般加花指令只能起到表面的免杀 加花好像对瑞星不是很好
对卡巴那是相当有效还有就是 定位特征码的时候要是定不到特征码 就加以段花指令吧PE头给该了 就可以了!
我们回来刚才停了一下
我们把它传到杀毒网上看看32款9款美国
好了教程到这里结束!不懂得地方可以问我。本人QQ:584525432或75001392 本人技术交流群
群一:56815869(快满)群二:52942896 另:本人收徒 不是免费的!有意QQ密我 不诚勿扰!
本人 接任何木马免杀业务!不接受盗号和刷钻业务 !886