免杀花指令编写组合

时间: 2008-07-01 / 分类: 未分类 / 浏览次数: / 0个评论 发表评论

1.POP 0
   POP 0

2.PUSH ebp
   pop ebp

3.nop    —-一般插在中间

4.jmp 一下jmp的地址

   jmp …

5.add esp,1 —-数字可以改变
   sub esp,1

6. add esp,1
    add esp,-1

7.sub esp,1
   sub esp,-1

8.push esi
   push edi

9.inc ecx
   dec ecx

10 sub eax,-2
    dec eax
    dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX
RETN

12. 免杀卡巴的花指令:

push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn

*************
12.(同上)
push ebp

push esp
pop   ebp

pop esp
jmp 原入口点地址

13.最新的一段万能免杀花指令:
push ebp
push esp
pop   ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免杀花指令

push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop

15.
jmp 改成:Jg(大于转移),JL(小于转移)
   或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp —直接被杀
改成
jb
jnb

或改成:
push 入口地址
retn

或改成:

mov eax,入口地址
jmp eax

17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push   入口地址
retn

*****************************************************************

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴—-如加密工具vmprotect

脱壳过的木马—加花指令,或加区加花—加密—加压缩壳—再加区加花指

2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密—-再加花—–可过卡巴:

3.加双层花指令免杀法—-免卡巴

4.加密—007内存免—-加压 —免卡巴或内存.

5.双层加密(maskpE)—加压 —-可过卡巴.

6.maskpe加密—asppack加壳 —改入口点加1—可过卡巴

7.加密maskpe—-加花或加区加花(用工具)—–加压缩壳—免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点—加花—-加密(vmprotect) —-加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

您阅读此文共耗时

发表评论

你必须 登录后 才能留言!