文件逆向之加花指令法

2019-09-10 09:01:54

字體：大中小

供稿：網(wǎng)友

花指令相關(guān)知識(shí)：
　其實(shí)是一段垃圾代碼，和一些亂跳轉(zhuǎn)，但并不影響程序的正常運(yùn)行。加了花指令后，使一些殺毒軟件無法正確識(shí)別木馬程序，從而達(dá)到免殺的效果。
二.加花指令使木馬免殺制作過程詳解：

　　第一步：配置一個(gè)不加殼的木馬程序。

　　第二步：用OD載入這個(gè)木馬程序，同時(shí)記下入口點(diǎn)的內(nèi)存地址。

　　第三步：向下拉滾動(dòng)條，找到零區(qū)域（也就是可以插入代碼的都是0的空白地方）。并記下零區(qū)域的起始內(nèi)存地址。

　　第四步：從這個(gè)零區(qū)域的起始地址開始一句一句的寫入我們準(zhǔn)備好的花指令代碼。

　　第五步：花指令寫完后，在花指令的結(jié)束位置加一句：JMP　剛才OD載入時(shí)的入口點(diǎn)內(nèi)存地址。

　　第六步：保存修改結(jié)果后，最后用PEditor這款工具打開這個(gè)改過后的木馬程序。在入口點(diǎn)處把原來的入口地址改成剛才記下的零區(qū)域的起始內(nèi)存地址，并按應(yīng)用更改。使更改生效。　　　　　　　　

三.加花指令免殺技術(shù)總節(jié)：

　1.優(yōu)點(diǎn)：通用性非常不錯(cuò)，一般一個(gè)木馬程序加入花指令后，就可以躲大部分的殺毒軟件，不像改特征碼，只能躲過某一種殺毒軟件。

　2.缺點(diǎn)：這種方法還是不能過具有內(nèi)存查殺的殺毒軟件，比如瑞星內(nèi)存查殺等。

　3.以后將加花指令與改入口點(diǎn)，加殼，改特征碼這幾種方法結(jié)合起來混合使用效果將非常不錯(cuò)。

四.加花指令免殺要點(diǎn)：

由于黑客網(wǎng)站公布的花指令過不了一段時(shí)間就會(huì)被殺軟辨認(rèn)出來，所以需要你自己去搜集一些不常用的花指令，另外目前還有幾款軟件可以自動(dòng)幫你加花，方便一些不熟悉的朋友，例如花指令添加器等。

五.常見花指令代碼

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳轉(zhuǎn)到程序原來的入口點(diǎn)

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳轉(zhuǎn)到程序原來的入口點(diǎn)

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3。跳轉(zhuǎn)
somewhere:
      nop                    /"胡亂"跳轉(zhuǎn)的開始...
      jmp 下一個(gè)jmp的地址    /在附近隨意跳
      jmp ...                /...
      jmp 原入口的地址      /跳到原始o(jì)ep

--------------------------------------------------
新入口: push ebp
        mov ebp,esp
        inc ecx
        push edx
        nop
        pop edx
        dec ecx
        pop ebp
        inc ecx
        loop somewhere        /跳轉(zhuǎn)到上面那段代碼地址去！

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4。Microsoft Visual C++ 6.0

push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

5。
在mov ebp,eax
后面加上
PUSH EAX
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
6.
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:[eax],al
jo 入口
jno 入口
call 下一地址

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
7.

push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop

―――――――――――――――
nop
nop
jmp 下一個(gè)jmp的地址    /在附近隨意跳

nop
jmp 下一個(gè)jmp的地址    /在附近隨意跳

nop
jmp 下一個(gè)jmp的地址    /在附近隨意跳

jmp 入口
====================================================

上一篇：JScript.Encode 腳本在線解密代碼

下一篇：加密短信 Ez Secret SMS v1.1