文件逆向之加花指令法

2019-09-10 09:01:54

字體：大中小

來源：轉載

供稿：網友

花指令相關知識：
　其實是一段垃圾代碼，和一些亂跳轉，但并不影響程序的正常運行。加了花指令后，使一些殺毒軟件無法正確識別木馬程序，從而達到免殺的效果。
二.加花指令使木馬免殺制作過程詳解：

　　第一步：配置一個不加殼的木馬程序。

　　第二步：用OD載入這個木馬程序，同時記下入口點的內存地址。

　　第三步：向下拉滾動條，找到零區域（也就是可以插入代碼的都是0的空白地方）。并記下零區域的起始內存地址。

　　第四步：從這個零區域的起始地址開始一句一句的寫入我們準備好的花指令代碼。

　　第五步：花指令寫完后，在花指令的結束位置加一句：JMP　剛才OD載入時的入口點內存地址。

　　第六步：保存修改結果后，最后用PEditor這款工具打開這個改過后的木馬程序。在入口點處把原來的入口地址改成剛才記下的零區域的起始內存地址，并按應用更改。使更改生效。　　　　　　　　

三.加花指令免殺技術總節：

　1.優點：通用性非常不錯，一般一個木馬程序加入花指令后，就可以躲大部分的殺毒軟件，不像改特征碼，只能躲過某一種殺毒軟件。

　2.缺點：這種方法還是不能過具有內存查殺的殺毒軟件，比如瑞星內存查殺等。

　3.以后將加花指令與改入口點，加殼，改特征碼這幾種方法結合起來混合使用效果將非常不錯。

四.加花指令免殺要點：

由于黑客網站公布的花指令過不了一段時間就會被殺軟辨認出來，所以需要你自己去搜集一些不常用的花指令，另外目前還有幾款軟件可以自動幫你加花，方便一些不熟悉的朋友，例如花指令添加器等。

五.常見花指令代碼

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳轉到程序原來的入口點

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳轉到程序原來的入口點

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3。跳轉
somewhere:
      nop                    /"胡亂"跳轉的開始...
      jmp 下一個jmp的地址    /在附近隨意跳
      jmp ...                /...
      jmp 原入口的地址      /跳到原始oep

--------------------------------------------------
新入口: push ebp
        mov ebp,esp
        inc ecx
        push edx
        nop
        pop edx
        dec ecx
        pop ebp
        inc ecx
        loop somewhere        /跳轉到上面那段代碼地址去！

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4。Microsoft Visual C++ 6.0

push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

5。
在mov ebp,eax
后面加上
PUSH EAX
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
6.
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:[eax],al
jo 入口
jno 入口
call 下一地址

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
7.

push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop

―――――――――――――――
nop
nop
jmp 下一個jmp的地址    /在附近隨意跳

nop
jmp 下一個jmp的地址    /在附近隨意跳

nop
jmp 下一個jmp的地址    /在附近隨意跳

jmp 入口
====================================================

上一篇：JScript.Encode 腳本在線解密代碼

下一篇：加密短信 Ez Secret SMS v1.1