注:編寫花指令,可參考以下成雙指令,可任意自由組合.達到免殺效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中數字可以任意,注意與下面對應
push -10
nop -----------可任意在中間添加
與它等效的:
mov EDI,EDI
add esp,1 -------其中數字可以任意,注意以下面對應
add esp,-1
add esp,1 --------其中數字可以任意,注意以下面對應
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中數字可任意,與dec的個數對應
dec eax
dec eax
add eax -2 ----------其中數字可任意,與inc的個數對應
inc eax
inc eax
jmp 下一個jmp地址
jmp 下一個地址
push ebp
mov ebp,esp -------可做為花指令的開頭句
jmp 入口地址 ------跳到程序入口地址
與它效果一樣的還有(以下三個):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
************************************************
用北斗壓縮后----再VMProtect加密后,可過瑞星表面
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價于:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉移),JL(小于轉移)
或改成:jb(小于轉移),jnb(大于或等于轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開鼠標50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價于:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉移),JL(小于轉移)
或改成:jb(小于轉移),jnb(大于或等于轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開鼠標50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價于:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉移),JL(小于轉移)
或改成:jb(小于轉移),jnb(大于或等于轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開鼠標50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
|
大家都在看
