注:編寫花指令,可參考以下成雙指令,可任意自由組合.達(dá)到免殺效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中數(shù)字可以任意,注意與下面對(duì)應(yīng)
push -10
nop -----------可任意在中間添加
與它等效的:
mov EDI,EDI add esp,1 -------其中數(shù)字可以任意,注意以下面對(duì)應(yīng)
add esp,-1
add esp,1 --------其中數(shù)字可以任意,注意以下面對(duì)應(yīng)
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中數(shù)字可任意,與dec的個(gè)數(shù)對(duì)應(yīng)
dec eax
dec eax
add eax -2 ----------其中數(shù)字可任意,與inc的個(gè)數(shù)對(duì)應(yīng)
inc eax
inc eax
jmp 下一個(gè)jmp地址
jmp 下一個(gè)地址 push ebp
mov ebp,esp -------可做為花指令的開頭句 jmp 入口地址 ------跳到程序入口地址
與它效果一樣的還有(以下三個(gè)):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax ************************************************
用北斗壓縮后----再VMProtect加密后,可過瑞星表面 1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數(shù)字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經(jīng)典,壓縮可運(yùn)行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點(diǎn)地址- jmp XXXXXX等價(jià)于:
PUSH XXXXXX
RETN 12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個(gè)地址
add esp,1
add esp,-1
push 入口點(diǎn)地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點(diǎn)地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉(zhuǎn)移),JL(小于轉(zhuǎn)移)
或改成:jb(小于轉(zhuǎn)移),jnb(大于或等于轉(zhuǎn)移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經(jīng)驗(yàn):
1.加區(qū),加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區(qū)加花---加密---加壓縮殼---再加區(qū)加花指
令
2.單單加免殺花指令已經(jīng)不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內(nèi)存免----加壓 ---免卡巴或內(nèi)存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點(diǎn)加1---可過卡巴
7.加密maskpe----加花或加區(qū)加花(用工具)-----加壓縮殼---免卡巴
8.北斗對(duì)黑防鴿子可加壓二次,再壓其它壓縮殼.以達(dá)免殺.
9.加過北斗殼,上向拉滾開鼠標(biāo)50多次,有一段空代碼,可以加花,轉(zhuǎn)移.
10.去頭轉(zhuǎn)移入口點(diǎn)---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對(duì)付卡巴,加免殺花指令.花指令對(duì)瑞星表面查殺一般無效,一般加壓縮殼.
12.對(duì)付瑞星表面: 有些黑軟,加區(qū),加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴. 13.過瑞星表面的查殺方法:
1.加北斗內(nèi)存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數(shù)字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經(jīng)典,壓縮可運(yùn)行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點(diǎn)地址- jmp XXXXXX等價(jià)于:
PUSH XXXXXX
RETN 12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個(gè)地址
add esp,1
add esp,-1
push 入口點(diǎn)地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點(diǎn)地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉(zhuǎn)移),JL(小于轉(zhuǎn)移)
或改成:jb(小于轉(zhuǎn)移),jnb(大于或等于轉(zhuǎn)移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經(jīng)驗(yàn):
1.加區(qū),加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區(qū)加花---加密---加壓縮殼---再加區(qū)加花指
令
2.單單加免殺花指令已經(jīng)不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內(nèi)存免----加壓 ---免卡巴或內(nèi)存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點(diǎn)加1---可過卡巴
7.加密maskpe----加花或加區(qū)加花(用工具)-----加壓縮殼---免卡巴
8.北斗對(duì)黑防鴿子可加壓二次,再壓其它壓縮殼.以達(dá)免殺.
9.加過北斗殼,上向拉滾開鼠標(biāo)50多次,有一段空代碼,可以加花,轉(zhuǎn)移.
10.去頭轉(zhuǎn)移入口點(diǎn)---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對(duì)付卡巴,加免殺花指令.花指令對(duì)瑞星表面查殺一般無效,一般加壓縮殼.
12.對(duì)付瑞星表面: 有些黑軟,加區(qū),加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴. 13.過瑞星表面的查殺方法:
1.加北斗內(nèi)存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數(shù)字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經(jīng)典,壓縮可運(yùn)行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點(diǎn)地址- jmp XXXXXX等價(jià)于:
PUSH XXXXXX
RETN 12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個(gè)地址
add esp,1
add esp,-1
push 入口點(diǎn)地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點(diǎn)地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于轉(zhuǎn)移),JL(小于轉(zhuǎn)移)
或改成:jb(小于轉(zhuǎn)移),jnb(大于或等于轉(zhuǎn)移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經(jīng)驗(yàn):
1.加區(qū),加花后,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區(qū)加花---加密---加壓縮殼---再加區(qū)加花指
令
2.單單加免殺花指令已經(jīng)不能過卡巴,一定要配合加免花后在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內(nèi)存免----加壓 ---免卡巴或內(nèi)存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點(diǎn)加1---可過卡巴
7.加密maskpe----加花或加區(qū)加花(用工具)-----加壓縮殼---免卡巴
8.北斗對(duì)黑防鴿子可加壓二次,再壓其它壓縮殼.以達(dá)免殺.
9.加過北斗殼,上向拉滾開鼠標(biāo)50多次,有一段空代碼,可以加花,轉(zhuǎn)移.
10.去頭轉(zhuǎn)移入口點(diǎn)---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對(duì)付卡巴,加免殺花指令.花指令對(duì)瑞星表面查殺一般無效,一般加壓縮殼.
12.對(duì)付瑞星表面: 有些黑軟,加區(qū),加花后被瑞星表面殺,可以這樣:先加壓過瑞星表面,然后加免殺花指令,過卡巴. 13.過瑞星表面的查殺方法:
1.加北斗內(nèi)存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.