-
匿名使用者2024-02-11誠然,開花指令不會改變特徵碼的位置,但它改變了程式執行的順序,有些還可以改變檔案結構。 防毒軟體掃瞄時跳轉到花命令,即判斷沒有病毒。 一般情況下,當檔案沒有被殺掉的時候,新增花指令是最簡單有效的方法,而且一般可以殺掉很多防毒軟體,所以一般的檔案免殺殺是常用的方法,前提是你的花指令不常用,最好自己做個人花指令, 這將非常有效。
-
匿名使用者2024-02-101、寫花指令生成器的必要知識。
1.花卉指令的原理。
花指令在程式中是沒用的**,程式對它沒有影響,沒有它也能正常執行。 新增花指令後,當防毒軟體靜態反彙編木馬時,木馬的**將無法正常顯示,增加了防毒軟體的難度。
2.如何寫花說明書。
讓我們來看看乙個花卉指令,並分析和理解它的原理:
push ebp
mov ebp,esp
push edx
pop edx
inc ecx
dec ecx
add esp,21
add esp,-21
add esp,10
sub esp,10
JMP原點入口點。
花指令一般有三個部分,分別以 push ebp 和 mov ebp 開頭,在大多數程式的開頭經常可以看到這兩個句子 esp。 Push EBP 就是把 EBP 按到堆疊裡,MOV EBP,ESP 就是把 ESP 的值賦值給 EBP,看不懂也沒關係,只要知道 Push EBP 和 MOV EBP、ESP 這兩句話經常出現在檔案的開頭,只是用 ollydbg 開啟乙個解壓的檔案,經常停在 push ebp mov ebp, 載入後的 ESP。
接下來就是花指令,推edx就是把通用暫存器edx按到堆疊裡,pop edx就是把通用暫存器edx從堆疊裡彈出來,這兩句話的總和就相當於什麼都不做。 接下來的inc ecx,ecx用來儲存計數值,也是乙個暫存器,inc是加1; 下面的 dec ecx 中的 dec 是負 1,加上 1 減去 1 以抵消,並且不做任何事情。 加ESP,21這是暫存器ESP加21,加就是加,下面這句話加ESP,-21是暫存器ESP加21,小學知識,+21+(-21)=0,還是什麼都沒做。
然後向下加 esp,10 暫存器 esp 加 21,sub esp,10 暫存器 esp 減去 10,sub 減去。 +10 和 -10 相互抵消。
3.如何寫花說明書。
讓我們來看看開花指令的一般步驟:
1、準備要新增的花材說明書;
2.準備解壓的黑客軟體;
3.用ollydbg開啟黑客軟體,記下入口點的記憶體位址;
4.找到零位址,逐句寫出花指令,然後使用JMP跳回程式入口點; (如果找不到空白位址,我們可以用zeroadd加個版塊,英文軟體,我中文好,操作簡單,而且沒有演示。)
5.儲存後,使用peditor將檔案入口點修改為開始寫花指令的位址。 這樣,程式會先執行花指令,然後跳回程式的原始開頭來執行程式;
6、檢查程式是否正常執行,有無殺傷效果。
mov ecx,[eax+0x30]表示第一次操作eax+0x30得到乙個結果,並以此結果為位址找到ECX記憶體長度並將其分配給ecx >>>More
關於花的句子如下:
1.一朵花,乙個世界。 我一直以為,牡丹生在絢麗的世界裡,綻放著燦爛的花朵,哪怕是一季花季也能綻放一生的輝煌,讓人只能遠遠地觀看,卻無法走進壯麗的天地。春天是鮮花的天堂,所以我想在花叢中尋找春天。 >>>More