花指令的花指令生成器
一、写花指令生成器必备知识
1、花指令原理
花指令是程序中的无用代码,程序对它没影响,少了它也能正常运行。加花指令后,杀毒软件对木马静态反汇编时,木马的代码就不会正常显示出来,加大杀毒软件的查杀难度。
2、如何写花指令
下面我们先看看一段花指令,分析理解它的原理:
PUSH EBP
MOV EBP,ESP
push edx
pop edx
inc ecx
dec ecx
add esp,21
add esp,-21
add esp,10
sub esp,10
JMP 附近空地址随便乱跳
JMP 原入口点
花指令一般有三部分,开头就是PUSH EBP和MOV EBP,ESP这两句在大部分程序开头可以经常看到。PUSH EBP是把EBP压入堆栈,MOV EBP,ESP是把ESP的值赋给EBP,不懂没关系,只要知道PUSH EBP和MOV EBP,ESP这两句经常出现在文件开头就可以了,随便用OllyDbg打开一个不加壳的文件载入后经常停在PUSH EBP MOV EBP,ESP。
接下来就是花指令啦,push edx是把通用寄存器EDX压入堆栈,pop edx是把通用寄存器EDX弹出堆栈,这两句和起来就相当于什么也没做。接下来的inc ecx,ecx用来保存计数值,也是寄存器,INC是加1;下面的dec ecx中的dec是减1,加1减1相抵消,又是什么也没做。add esp,21这是寄存器esp加21,add是加上,下面一句add esp,-21是寄存器esp加-21,小学知识,+21+(-21)=0,还是什么也没做。再下来add esp,10寄存器esp加21,sub esp,10寄存器esp减10,sub是减去。一个+10,一个-10相互抵消了。
最后是跳转语句,我用两句JMP,第一句在花指令附近随便跳到个空地址,第二个JMP是从空地址跳回文件的原入口点。
3、如何写入花指令
我们来看看加花指令的一般步骤:
1、准备好要加的花指令;
2、准备未加壳的黑客软件;
3、用OllyDbg打开这个黑客软件,记下入口点的内存地址;
4、找到零地址,一句一句写入花指令,再用JMP跳回程序入口点;(如果找不到空白地址,我们可以用zeroadd加区段,英文软件,我汉化好的,操作简单就不演示了。)
5、保存后用Peditor修改文件入口点为开始写花指令的地址。这样运行程序就先运行花指令再跳回程序的原始开头执行程序了;
6、检测程序是否正常运行和免杀效果。
AiPPT
2024-09-19 广告
