关于花指令
杀毒软件可以通过特征代码定位是不是木马,为什么有时加入了花指令他就认不出了呢,花指令又没改变特征代码极其位置,而且有时候加了花指令又能认出来,那么在什么情况下花指令才有效...
杀毒软件可以通过特征代码定位是不是木马,为什么有时加入了花指令他就认不出了呢,花指令又没改变特征代码极其位置,而且有时候加了花指令又能认出来,那么在什么情况下花指令才有效,哈哈,这个问题其实不容易回答,回答清楚了再加分
展开
4个回答
展开全部
加花指令的确没有改变特征码的位置,但是他改变了程序执行顺序,有的也能改变文件结构。使杀毒软件扫描的时候跳到花指令处,即判断没有病毒。通常情况下,在文件免杀的时候,加花指令是最简单、有效的方法,而且一般能通杀很多杀毒软件,所以一般文件免杀通用此法,前提是你的花指令不是常用的,最好能自己做出你个人的花指令,才会很有效。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我想杀毒软件判断的特征代码不是一行吧?既然是连续几行,那如果我加入一些乱七八糟的指令(比如我来跳转),那么杀度软件可能就查不出这个病毒了。
比如说,假设如下代码是有害的:(这里用basic为例,一来我不会汇编,二来别的语言跳转比较麻烦)
print "我有害!"
print "我要格式化你的硬盘!!"
杀毒软件以此为特征码来查杀该病毒,但是如果我这样:
print "我有害!"
goto 100
100: print "我要格式化你的硬盘!!"
那么就可以在一定程度上给杀毒软件迷惑吧?
当然这是最简单的花指令。我是菜鸟,这个太深奥了,随便谈谈,呵呵。
比如说,假设如下代码是有害的:(这里用basic为例,一来我不会汇编,二来别的语言跳转比较麻烦)
print "我有害!"
print "我要格式化你的硬盘!!"
杀毒软件以此为特征码来查杀该病毒,但是如果我这样:
print "我有害!"
goto 100
100: print "我要格式化你的硬盘!!"
那么就可以在一定程度上给杀毒软件迷惑吧?
当然这是最简单的花指令。我是菜鸟,这个太深奥了,随便谈谈,呵呵。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
如果会汇编的话就更容易做到长久的免杀效果,汇编不是太容易学,但是作为免杀个人感觉没有必要学的很深入。只要知道一些常用的就行了,除非你打算靠做免杀过日子,呵呵。
花指令方法汇总:
一.花指令概念:
花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡.
二.写花指令的原则:
写花指令的基本原则就是要保持堆栈的平衡.
写花指令细细品味下面一段比喻:
我们把一段花指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成加减乘除,把寄存器或数据(eax,ebx,1等)比喻成数字(1,2,3等),那么要保持花指令堆栈的平衡,等于保持这道数学题的结果是0 .
三.解释一些指令含意
push ebp ----把基址指针寄存器压入堆栈
pop ebp ----把基址指针寄存器弹出堆栈
push eax ----把数据寄存器压入堆栈
pop eax ----把数据寄存器弹出堆栈
nop -----不执行
add esp,1-----指针寄存器加1
sub esp,1-----指针寄存器减1
inc ecx -----计数器加1
dec ecx -----计数器减1
sub esp,1 ----指针寄存器加1
sub esp,-1----指针寄存器加-1
jmp 入口地址----跳到程序入口地址
push 入口地址---把入口地址压入堆栈
retn ------ 反回到入口地址,效果与jmp 入口地址一样.
mov eax,入口地址 ------把入口地址转送到数据寄存器中.
jmp eax ----- 跳到程序入口地址
jb 入口地址
jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址.
四.免杀花指令编写手册:
注:以后编写花指令,都可以参考本手册,灵活组合,快速写出自己的花指令.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
move edi,edi ----效果与nop一样
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, 2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
这些基本就够。。。主要靠你自己的免杀思路。只要你有好的思路你就可以做出好的免杀效果。希望兄弟免杀不断进步。呵呵。。。
花指令方法汇总:
一.花指令概念:
花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡.
二.写花指令的原则:
写花指令的基本原则就是要保持堆栈的平衡.
写花指令细细品味下面一段比喻:
我们把一段花指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成加减乘除,把寄存器或数据(eax,ebx,1等)比喻成数字(1,2,3等),那么要保持花指令堆栈的平衡,等于保持这道数学题的结果是0 .
三.解释一些指令含意
push ebp ----把基址指针寄存器压入堆栈
pop ebp ----把基址指针寄存器弹出堆栈
push eax ----把数据寄存器压入堆栈
pop eax ----把数据寄存器弹出堆栈
nop -----不执行
add esp,1-----指针寄存器加1
sub esp,1-----指针寄存器减1
inc ecx -----计数器加1
dec ecx -----计数器减1
sub esp,1 ----指针寄存器加1
sub esp,-1----指针寄存器加-1
jmp 入口地址----跳到程序入口地址
push 入口地址---把入口地址压入堆栈
retn ------ 反回到入口地址,效果与jmp 入口地址一样.
mov eax,入口地址 ------把入口地址转送到数据寄存器中.
jmp eax ----- 跳到程序入口地址
jb 入口地址
jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址.
四.免杀花指令编写手册:
注:以后编写花指令,都可以参考本手册,灵活组合,快速写出自己的花指令.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
move edi,edi ----效果与nop一样
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, 2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
这些基本就够。。。主要靠你自己的免杀思路。只要你有好的思路你就可以做出好的免杀效果。希望兄弟免杀不断进步。呵呵。。。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
加了壳定查不出
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
