今天发送经典之花的指令
注:编制花指令。 可以参考以下双重指令,自由组合。 达到无杀效果。
推送ebp
pop ebp
push eax
pop eax
推式esp
pop esp
推0
推0
push 10 -------其中的数字是任意的。 请注意以下应对措施
推式10
nop -----------可以任意添加到中间
与之同等的:
mov EDI,EDI
add esp,1 -------其中数字任意,应对时注意以下方面
add esp,-1
add esp,1 --------其中数字任意,应对时注意以下方面
子esp,1
inc ecx
dec ecx
subeax----2---------其中数字是任意的,对应于dec的个数
dec eax
dec eax
addeax----2-----其中数字是任意的,对应于inc的个数
inc eax
inc eax
jmp以下jmp地址
jmp的下一个地址
推送ebp
mov ebp,esp -------可以作为花指令的开头句
jmp入口地址------跳转到程序入口地址
有同样效果的是:
推送条目地址
回退
jb条目地址
jnb门户地址
mov eax,门户地址
jmp eax
* * * * * * * * * * * * * * * * *
北斗压缩后----再用VMProtect加密后,可以穿越瑞星表面
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp以下jmp地址
jmp .
5 .添加Esp,1 ----数字可以改变
子esp,1
6. add esp,1
add esp,-1
7 .子esp,1
sub esp,-1
8.push esi
推送编辑器
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11 ) )该无杀花指令经典,可压缩执行,免除河马) ) ) )。
推送ebp
mov ebp,esp
pop esp
jmp源入口点的地址-
jmp XXXXXX等效于:
推xxxxx
回退
12 .不杀河马花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp将跳转到以下地址
add esp,1
add esp,-1
推送入口点的地址
回退
*****
12.(同上) )。
推送ebp
推式esp
pop ebp
pop esp
jmp源入口点的地址
13 .最新万能无杀花指令:
推送ebp
推式esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp门户
14 .无杀花指令
推送ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,门户地址
jmp eax
nop
15.
jmp已更改为:Jg (大于转移)和小于JL (小于转移)
或者变更为:jb (小于转移)、jnb (转移以上)
16 .写桦树指令的跳跃不要直接用jmp跳。 否则,就会直接被杀
jmp ---直接被杀
更改为
jb
日本全国广播公司
或更改为:
推送条目地址
回退
或更改为:
mov eax,门户地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的***---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-
jmp XXXXXX等价于:
PUSH XXXXXX
RETN
12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的***---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-
jmp XXXXXX等价于:
PUSH XXXXXX
RETN
12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的***---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.