花指令相关知识.docx

花指令相關知識： 其實是一段垃圾代碼，和一些亂跳轉，但並不影響程式的正常運行。加了花指令後，使一些殺毒軟體無法正確識別木馬程式，從而達到免殺的成效。 .加花指令使木馬免殺製作過程詳解： 第一步：配置一個不加殼的木馬程式。 第二步：用OD載入這個木馬程式，同時記下进口點的記憶體位址。 第三步：向下拉捲軸，找到零區域（也就是能够插入代碼的都是0的空白地方）。並記下零區域的起 始記憶體位址。 第四步：從這個零區域的开端位址開始一句一句的寫入我們準備好的花指令代碼。 第五步：花指令寫完後，在花指令的結束地点加一句：JMP剛才OD載入時的进口點記憶體位址。 第六步：保留改正結果後，最後用PEditor這款工具打開這個改過後的木馬程式。在进口點處把原來的 进口位址改成剛才記下的零區域的开端記憶體位址，並按應用改正。使改正奏效。 三.加花指令免殺法實例演示部分： 實例演示一：NC加花指令免殺演示過程。 實例演示二：阿拉大盜主程序免殺之加花指令和进口點加 實例演示三：阿拉大盜主程序免殺之加不一样花指令免殺演示  1法綜合應用。 (作業） 綜合實例演示：灰鴿子MINI版主程序免殺操作過程： 1.加花指令 2.进口點加1 3.變換入點地点法 .加花指令免殺技術總節： 優點：通用性特别不錯，一般一個木馬程式加入花指令後，就能够躲大多数的殺毒軟體，不像改特徵碼，只好躲過某一種殺毒軟體。 缺點：這種方法還是不可以過拥有內存查殺的殺毒軟體，比方瑞星內存查殺等。 以後將加花指令與改进口點，加殼，改特徵碼這幾種方法結合起來混淆使用成效將特别不錯。好了，今日的課就結束了，下節課再見！ 實踐操作： 1.把駭客工具NC加一段VC＋＋花指令代碼以達到免殺成效，最後測試可否正常使用 VC++程式的进口代碼: PUSHEBP MOVEBP,ESP PUSH-1 push415448-\___ PUSH4021A8-/在這段代碼中類似這樣的運算元能够亂填 MOVEAX,DWORDPTRFS:[0] PUSHEAX MOVDWORDPTRFS:[0],ESP ADDESP,-6C PUSHEBX PUSHESI PUSHEDI ADDBYTEPTRDS:[EAX],AL/這條指令能够不要! j  原进口 jndb0e8h  原进口 2.把駭客工具  SNIFF加下边一段花指令，並結合进口點加  1，最後測試可否正常使用 pushebp movebp,esp incecx pushedx nop popedx dececx popebp incecx jmp（木馬剛載入時的进口地点） 3.把駭客工具Findpass加以下一段花指令，以達免殺成效，並測試使用能否正常。 movebp,esp addesp,+0C addesp,-0C moveax,0040100000401000  填你改正程式的原始进口位址  注意~!! pusheax retn