@@给大家发5个免杀教程--菜鸟进@@(4)
@@给大家发5个免杀教程--菜鸟进@@(4)第四课 花指令的编写及其运用
花指令其实是一堆废话,也就是有没有这段花指令都不影响程序的正常运行
注意:添加的花指令要保持堆栈的平衡和程序的连贯性
加花指令其实就是为了迷惑杀毒软件,从而使杀毒软件找不到特征码
要知道怎么加花,或者以后学了如何修改特征码,首先得读一下汇编手册。现在读不懂没关系,在做免杀的时候慢慢就会记住的
如果遇到不懂的指令,也可以用“汇编指令查询器”来查询
.零区域直接加花
什么是零区域?
用C32看是十六进制 00 00 00 00
用OD看是ADD BYTE PTR DS:,AL或者DB 00,如果是DB 00的话,就在OD里右键“分析”—“从模块删除分析”
加花方法:
先找到零区域内存地址,记录下来,然后写入花指令,再跳到原来的入口点,最后用LoadPE改入口点为零区域内存地址
.加区段加花
先用zeroadd加一个区段,这时这个区段全部都是零区域了,然后我们就可以在新加的区段里加花,再跳转到原来的入口点,最后用LoadPE改入口点即可
.加壳加花
.加壳加区加花
.去头加花
.工具加花
这个方法现在不推荐使用,以前对杀软还是有些效果的,但现在有些杀软会查杀这些工具加出来的花指令,所以还是用自己写的花好点。或者先用工具加花,然后再改这些用工具加的花指令,也就是花指令变异了
.SEH异常
SEH异常就是结构化异常处理,程序遇到SEH异常时,异常交给系统处理,在这里的时候就很容易跟飞,所以利用SEH异常时可以一定程度的防止程度调试,SEH异常在一些壳里是也很常见的
push xxxxxxxx //地址压入堆栈
一个SEH花指令就相当于一个jmp指令,在这里可以把这个push看做是一个jmp
下载地址:
http://www.hackfans.com.cn/video/shikan/miansha/第四课+花指令的编写及其运用.rar
页:
[1]