@@给大家发5个免杀教程--菜鸟进@@(4)

a6380841

@@给大家发5个免杀教程--菜鸟进@@(4)

第四课 花指令的编写及其运用
花指令其实是一堆废话,也就是有没有这段花指令都不影响程序的正常运行
注意:添加的花指令要保持堆栈的平衡和程序的连贯性
加花指令其实就是为了迷惑杀毒软件，从而使杀毒软件找不到特征码
要知道怎么加花，或者以后学了如何修改特征码，首先得读一下汇编手册。现在读不懂没关系，在做免杀的时候慢慢就会记住的
如果遇到不懂的指令，也可以用“汇编指令查询器”来查询

        [1].零区域直接加花
什么是零区域？
用C32看是十六进制 00 00 00 00
用OD看是ADD BYTE PTR DS:[EAX],AL或者DB 00，如果是DB 00的话，就在OD里右键“分析”—“从模块删除分析”
加花方法：
先找到零区域内存地址，记录下来，然后写入花指令，再跳到原来的入口点，最后用LoadPE改入口点为零区域内存地址

        [2].加区段加花
        先用zeroadd加一个区段，这时这个区段全部都是零区域了，然后我们就可以在新加的区段里加花，再跳转到原来的入口点，最后用LoadPE改入口点即可
        [3].加壳加花
        [4].加壳加区加花
        [5].去头加花
        [6].工具加花
        这个方法现在不推荐使用，以前对杀软还是有些效果的，但现在有些杀软会查杀这些工具加出来的花指令，所以还是用自己写的花好点。或者先用工具加花，然后再改这些用工具加的花指令，也就是花指令变异了
        [7].SEH异常
        SEH异常就是结构化异常处理，程序遇到SEH异常时，异常交给系统处理，在这里的时候就很容易跟飞，所以利用SEH异常时可以一定程度的防止程度调试，SEH异常在一些壳里是也很常见的
        push xxxxxxxx                        //地址压入堆栈
        一个SEH花指令就相当于一个jmp指令，在这里可以把这个push看做是一个jmp
下载地址：
http://www.hackfans.com.cn/video/shikan/miansha/第四课+花指令的编写及其运用.rar