当前位置:首页 » 操作系统 » 花指令源码

花指令源码

发布时间: 2022-04-25 03:24:13

1. 〔高分〕怎么给灰鸽子的服务端做免杀和加花指令

兄弟啊!(哭~~~)

都2008年了!还用鸽子!那个东西容易被杀(查得紧着呢!)!而且不能过主动防御!就是免杀了也不行!让瑞星和卡巴报发现就报XXXXXXX疑似变种,卡巴报风险软件!听我的,换木马!推荐pcshare,之类的通过ssdt过主动防御!我在用gh0st,问题是我不是学VC的,有了源码也不好改,只是改改基本的~
交几个朋友,共同提高水平。。
QQ:245730108

(你去看动画,有的是,不过我多年经验告诉我,那玩意儿不好使~除非在源代码下加花重编译
免杀这东西要一次次的多试验,那些教程不过是无数次的失败中的偶尔几次成功,是要付出努力的!呵呵。加油啊!

2. 灰鸽子怎么样才能免杀

一般都是修改特征码,或者无特征码免杀。学免杀的话去hack95安全学习网看看教程吧。

3. 易语言源码免杀的教程 或者是免杀壳

远控从功能上来说大同小异,都是差不多的,没有最好的,也没有永久免杀的远控,最好的远控就是自己动手编写一款,远控的价值在于免杀,也就是要定位出服务端的病毒特征码,源码免杀需要很强的汇编功底,楼主可以考虑使用一些特征码辅助定位软件,建议楼主有时间可以学习一下汇编,不需要多精通,掌握一些免杀常用的入门指令即可,网上也有免杀的视频教学,只有自己动手打造的才能最大程度达到免杀的效果,学习的同时一定要注重底层的原理,所以有时间尽可能把汇编学好!下面是我列出的5套免杀方案,希望对楼主有所帮助,谢谢!
1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.

纯手敲,忘采纳!

4. 安卓加密的安卓开发术语

1.混淆源码。代码混淆(Obfuscatedcode)亦称花指令,可以借助一些工具,市场有很多高级混淆代码工具。花指令的基本原理是由设计者特别构思一些指令,可以使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。文件夹混淆是利用Android系统环境下的文件夹名的特殊性来对源码文件夹进行混淆,让混淆后的文件夹在Window看起来失去原有的逻辑性,但是完全不影响其在Android系统上的运行。Android技术验证的原理是在代码启动的时候本地获取签名信息后对签名信息进行检验来判断自己的应用是否是正版,如果签名信息不是正版则提示盗版或者直接崩溃。
2.使用伪加密保护方式,通过java代码对APK(压缩文件)进行伪加密,其修改原理是修改连续4位字节标记为”PK0102”的后第5位字节,奇数表示不加密偶数表示加密。伪加密后的APK不但可以防止PC端对它的解压和查看也同样能防止反编译工具编译。
3.通过标志尾添加其他数据从而防止PC工具解压反编译,这样处理后把APK看做压缩文件的PC端来说这个文件被破坏了,所以你要对其进行解压或者查看都会提示文件已损坏,用反编译工具也会提示文件已损坏,但是它却不会影响在Android系统里面的正常运行和安装而且也能兼容到所有系统
4.对DEX、RES、SO库等主要文件进行加密保护。Dex文件是APK中最重要、最需要保护的,因为dex中存放了代码的信息,如果是一个没有做过任何保护的APK,破解者通过使用dex2jar和jd-gui简单几步就可以查看到源码。同样,SO库文件是APK的核心代码,一旦被破解,APK就很容易被破解了。不过这方面对开发者的技术要求很高,想要简单的话,就借助类似于爱加密这种第三方工具。通过使用加壳技术,对dex文件做了一层保护壳,这样破解者就无法通过正常手段反编译出代码文件,从而保护代码的安全。

5. cmp比较指令的编写 我想在OD中免杀木马 想写一些比较 的花指令 求高手指教一下 最好详细一点

爱怎么写就怎么写,但你的堆栈得保持平衡,所以一般先把寄存器压入栈,完了再弹出来。。。。。。不过,跟你说,就这点花,现在在杀软件想免杀,别想了,360现在NB轰轰,五个引擎,云更新又快,定位都定半年,被杀得东西南北都分不清了- -|||||

搞了一天的源码,刚搞定四个引擎,现在被云给秒了,我用的是ghost源码,自己改版的,源码现在还有点搞头,其它的。。。。。。。。。。。。。。。。。。。。。汇编牛人玩的,想要源码密我

-------------------瓦擦,现在才发现怎么一点分都没有呢,还是别来找我了。。。。

6. 别人给的易语言源码来我自己改了下静态编就自动加壳了

易语言花指令 不是加壳 在菜单栏 工具 系统配置 最后一个 目标安全里 把花指令 全部改成0 就好了 行了请采纳 谢谢

7. 那个会编程的大哥给写几个花指令!

花指令实验1
;作者:罗聪
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data
szText db "嘿嘿,这是一个花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0

.code
main:
jmp Do_It
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
invoke ExitProcess, 0
end main

然后用W32Dasm v10来反编译它,得到的结果如下:(由于篇幅所限,这里只列出关键部分)

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)

//******************** Program Entry Point ********
:00401000 EB00 jmp 00401002

* Referenced by a (U)nconditional or ?onditional Jump at Address:
|:00401000(U)
|
:00401002 6A00 push 00000000

* Possible StringData Ref from Data Obj ->"花指令演示 by LC 2002-8-21"
|
:00401004 681F304000 push 0040301F

* Possible StringData Ref from Data Obj ->"嘿嘿,这是一个花指令程序……"
|
:00401009 6800304000 push 00403000
:0040100E 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401010 E80D000000 Call 00401022
:00401015 6A00 push 00000000

* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:00401017 E800000000 Call 0040101C

哇,好夸张啊!你可能会说。反编译出来的代码几乎是跟源代码一一对应的,这样一来?我们的程序还有什么秘密可言呢?完全可以从反编译的结果中理解程序的功能。

而且我们还可以在W32Dasm的“String Data References”中得到:
"嘿嘿,这个是一个花指令程序……"
"花指令演示 by LC 2002-8-21"

把刚才的源程序稍做修改,来做第二个实验:

;***************************************************************
;花指令实验2
;作者:罗聪
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data
szText db "嘿嘿,这是一个花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0

.code
main:
jz Do_It ;注意这里和第一个实验中的源程序的区别
jnz Do_It ;注意这里和第一个实验中的源程序的区别
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
end main

用W32Dasm反编译一下:

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)

//******************** Program Entry Point ********
:00401000 7402 je 00401004
:00401002 7500 jne 00401004

* Referenced by a (U)nconditional or ?onditional Jump at Addresses:
|:00401000?, :00401002?
|
:00401004 6A00 push 00000000

* Possible StringData Ref from Data Obj ->"花指令演示 by LC 2002-8-21"
|
:00401006 681F304000 push 0040301F

* Possible StringData Ref from Data Obj ->"嘿嘿,这是一个花指令程序……"
|
:0040100B 6800304000 push 00403000
:00401010 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401012 E801000000 Call 00401018

可以看出,这时的W32Dasm反编译出来的汇编指令还是正确的。但是W32Dasm其实已经逐渐落入我们设下的“陷阱”了。

下面我们来做第三个实验,把源程序改成:

;***************************************************************
;花指令实验3
;作者:罗聪
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data
szText db "嘿嘿,这是一个花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0

.code
main:
jz Do_It ;注意这里和第一个实验中的源程序的区别
jnz Do_It ;注意这里和第一个实验中的源程序的区别
db 0E8h ;注意这里和第二个实验中的源程序的区别
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
invoke ExitProcess, 0
end main

我们来看看W32Dasm中反编译出来的东西:

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)

//******************** Program Entry Point ********
:00401000 7403 je 00401005
:00401002 7501 jne 00401005
:00401004 E86A00681D call 1DA81073
:00401009 304000 xor byte ptr [eax+00], al

* Possible StringData Ref from Data Obj ->"嘿嘿,这是一个花指令程序……"
|
:0040100C 6800304000 push 00403000
:00401011 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401013 E80E000000 Call 00401026
:00401018 6A00 push 00000000

* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:0040101A E801000000 Call 00401020

呵呵,很明显了,这时的 00401004 到 00401009 行出错了,而且这时查看“String Data References”,也只剩下了:
"嘿嘿,这是一个花指令程序……"

让我们进一步隐藏信息,做第四个实验:

;***************************************************************
;花指令实验4
;作者:罗聪
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data
szText db "嘿嘿,这是一个花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0

.code
main:
jz Do_It ;注意这里和第一个实验中的源程序的区别
jnz Do_It ;注意这里和第一个实验中的源程序的区别
db 0E8h ;注意这里和第二个实验中的源程序的区别
Do_It:
lea eax, szText ;注意这里和第三个实验中的源程序的区别
lea ebx, szCaption ;注意这里和第三个实验中的源程序的区别
invoke MessageBox, NULL, eax, ebx, MB_OK ;注意这里和第三个实验中的源程序的区别
invoke ExitProcess, 0
end main

编译,再用W32Dasm反编译,得到的是:

+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)

//******************** Program Entry Point ********
:00401000 7403 je 00401005
:00401002 7501 jne 00401005
:00401004 E88D050030 call 30401596
:00401009 40 inc eax
:0040100A 008D1D1D3040 add byte ptr [ebp+40301D1D], cl
:00401010 006A00 add byte ptr [edx+00], ch
:00401013 53 push ebx
:00401014 50 push eax
:00401015 6A00 push 00000000

* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401017 E80E000000 Call 0040102A
:0040101C 6A00 push 00000000

* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:0040101E E801000000 Call 00401024

呵呵,这次不但面目全非了,而且“String Data References”按钮已经变成了灰色。什么蛛丝马迹都没有了。

各位看官看到这里明白了吗?其实花指令就是人为地构造一些“陷阱”和一些无用的字节。例如第二个实验中的:

jz Do_It
jnz Do_It

其实这个跟 jmp Do_It 还不是一样吗?(呵呵,如果在大学的期末考试里这样写,一定会被判不及格……)

是的,其实程序原有的功能和逻辑还是一样的,我们只不过是换了一种表现形式而已。然而,反编译工具是没有人脑那么智能的,它们往往就会把这些指令理解错,从而错误地确定了指令的起始位置。

要实现这种绝对跳转的功能,还可以用很多的方法,例如:

Push Do_It
ret

花指令是很容易理解的,不过大家要注意适时而用,不要滥用啊,能起到迷惑破解者和隐藏信息的作用就行了,不然将来要维护代码时,我怕被迷惑的反而是你自己哦,呵呵……

8. 求高人教免杀

全部都是要钱的,这里不要钱饭客网络一周年免费免杀培训之菜鸟学免杀
第一课、免杀之序http://www.hackfans.com.cn/miansha/cnms1.rar第二课、我爱定位特征码http://www.hackfans.com.cn/miansha/cnms2.rar第三课、PE文件讲解http://www.hackfans.com.cn/miansha/cnms3.rar第四课、详解特征码修改方法http://www.hackfans.com.cn/miansha/cnms4.rar第五课、实战PcShare定制版PE头移位http://www.hackfans.com.cn/miansha/cnms5.rar第六课、实战PcShare定制版瑞星金山http://www.hackfans.com.cn/miansha/cnms6.rar第七课、输出表免杀方法http://www.hackfans.com.cn/miansha/cnms7.rar
饭客网络一周年免费免杀培训之输入表 饭客网络一周年免费免杀培训之输入表:第一课http://bbs.hackfans.com.cn/thread-92500-1-1.html
饭客网络一周年免费免杀培训之输入表:第二课http://bbs.hackfans.com.cn/thread-92503-1-1.html
饭客网络一周年免费免杀培训之输入表:第三课http://bbs.hackfans.com.cn/thread-92505-1-1.html
饭客网络一周年免费免杀培训之输入表:第四课http://bbs.hackfans.com.cn/thread-92506-1-1.html
饭客网络一周年免费免杀培训之输入表:第五课http://bbs.hackfans.com.cn/thread-92507-1-1.html
饭客网络一周年免费免杀培训之输入表:第六课http://www.hackfans.com.cn/mianfei/miansha/sub6.rar
饭客网络一周年免费免杀培训之输入表:第七课http://www.hackfans.com.cn/mianfei/miansha/srb/7.rar
饭客网络一周年免费免杀培训之输入表:第八课http://www.hackfans.com.cn/mianfei/miansha/srb/8.rar
饭客网络一周年免费免杀培训之输入表:第九课http://www.hackfans.com.cn/mianfei/miansha/srb/9.rar
饭客网络一周年免费免杀培训之无特征码免杀 第一课、全自动定位瑞星特征码http://www.hackfans.com.cn/mianfei/miansha/1.rar第二课、无特征码免杀的基础http://www.hackfans.com.cn/mianfei/miansha/2.rar第三课、多种模式实战区段加密免杀http://www.hackfans.com.cn/mianfei/miansha/3.rar第四课、无特征码免杀汇编基础知识http://www.hackfans.com.cn/mianfei/miansha/4.rar第五课、区段加密技术的加固和延展http://www.hackfans.com.cn/mianfei/miansha/5.rar第六课、无特征码免杀实战金山http://www.hackfans.com.cn/mianfei/miansha/6.rar第七课、无特征码免杀瑞星总结http://www.hackfans.com.cn/mianfei/miansha/7.rar第八课、花指令的编写和应用组合http://www.hackfans.com.cn/mianfei/miansha/8.rar第九课、无特征码免杀NOD32专题(一)http://www.hackfans.com.cn/mianfei/miansha/9.rar第十课、凤凰ABC巧施妙计过360双引擎http://www.hackfans.com.cn/mianfei/miansha/10.rar第十一课、江民全自动定位和资源段的合理加密 http://www.hackfans.com.cn/mianfei/miansha/11.rar第十二课、江民资源段的科学加密弥补十一课的不足http://www.hackfans.com.cn/mianfei/miansha/12.rar第十三课、移形换位免杀思路http://www.hackfans.com.cn/mianfei/miansha/13aa.rar第十四课、另类异或加密http://www.hackfans.com.cn/mianfei/miansha/14s.rar第十五课、关于360杀软杀加密入口点的研究http://www.hackfans.com.cn/mianfei/miansha/15bb.rar第十六课、分析别人的免杀思路据为己有http://www.hackfans.com.cn/mianfei/miansha/16.rar第十七课、多功能花指令的使用变形记http://www.hackfans.com.cn/mianfei/miansha/17si.rar第十八课、输入表隐藏法(一)http://www.hackfans.com.cn/mianfei/miansha/18.rar第十九课、输入表隐藏法(二)http://www.hackfans.com.cn/mianfei/miansha/19.rar第二十课、输入表的完全泯灭http://www.hackfans.com.cn/mianfei/miansha/20.rar第二十一课、无特征免杀综合思路形成(一)http://www.hackfans.com.cn/mianfei/miansha/21.rar第二十二课、无特征免杀综合思路形成(二)http://www.hackfans.com.cn/mianfei/miansha/22.rar第二十三课、无特征免杀综合思路形成(三)http://www.hackfans.com.cn/mianfei/miansha/23.rar第二十四课、无特征码免杀总结合集(一)http://www.hackfans.com.cn/mianfei/miansha/24.rar第二十五课、无特征码免杀总结合集(二)http://www.hackfans.com.cn/mianfei/miansha/25.rar第二十六课、无特征码免杀终章 带你做免杀+免杀补丁http://www.hackfans.com.cn/mianfei/miansha/26.rar第二十七课、定位小红伞教程 http://www.hackfans.com.cn/mianfei/miansha/xhsdw.rar第二十八课、详解定位NOD32教程http://www.hackfans.com.cn/mianfei/miansha/dwnod32.rar第二十九课、详解修改NOD32特征码http://www.hackfans.com.cn/mianfei/miansha/xgnod.rar第三十课、简单过360云查杀http://www.hackfans.com.cn/mianfei/miansha/360yun.rar第三十一课、非完美过 7.1安全卫士 提示+云http://www.hackfans.com.cn/miansha/tishiyun.rar饭客网络一周年免费免杀培训之Gh0st系列源码免杀
Gh0st系列源码免杀第一课:Gh0st源码免杀基础知识http://www.hackfans.com.cn/yuanma/ymms1.rar
Gh0st系列源码免杀第二课:预处理+实战瑞星表面http://www.hackfans.com.cn/yuanma/ymms2.rar
Gh0st系列源码免杀第三课:实战360杀毒http://www.hackfans.com.cn/yuanma/ymms3.rar
Gh0st系列源码免杀第四课:实战金山2011云防御和普通查杀http://www.hackfans.com.cn/yuanma/ymms4.rar
Gh0st系列源码免杀第五课:实战过江民及其主动http://www.hackfans.com.cn/yuanma/ymms5.rar
Gh0st系列源码免杀第六课:Pass360安全卫士教程+工具http://bbs.hackfans.com.cn/thread-92569-1-1.html
Gh0st系列源码免杀第七课:免杀卡巴斯基2010高启发(包括生成)http://bbs.hackfans.com.cn/thread-92581-1-1.html
Gh0st系列源码免杀第八课:完完全全过瑞星行为防御http://bbs.hackfans.com.cn/thread-92591-1-1.html
Gh0st系列源码免杀第九课:实战NOD32http://www.hackfans.com.cn/yuanma/ymms9.rar
小弟辛苦收集的,版主大哥加点分。

9. 免杀的方法

一.入口点加1免杀法:

1.用到工具PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀]
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

【二.变化入口地址免杀法:】

1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址

【三.加花指令法免杀法:】

1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

【四.加壳或加伪装壳免杀法:】

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳

【五.打乱壳的头文件或壳中加花免杀法:】

1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

【六.修改文件特征码免杀法:】

1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达
到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好

[特征码修改方法]

特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方
法是通用的。所以就对目前流行的特征码修改方法作个总节。

[方法一:直接修改特征码的十六进制法]
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

[方法二:修改字符串大小写法]
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

[方法三:等价替换法]
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.

[方法四:指令顺序调换法]
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

[方法五:通用跳转法]
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

木马免杀的综合修改方法

文件免杀方法:1.加冷门壳 2.加花指令 3.改程序入口点 4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧

【七.内存免杀方法:】

修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法

壳入口修改法
1.用到工具:压缩壳 OD
2.特点:操作简单 免杀效果好
3.操作步骤:首先给木马加压缩壳 然后用OD载入,在入口处的前15句中NOP掉某些代码或者等价代换某些代码

【八.输入表免杀方法:】

[一,移位法]

1 首先用lordpe打开,目录,导入表找到你要改的函数。比如说CommandLineA
2 记下未改前函数的thunkvalue 举例:00062922
3 将要修改的文件用winhex等16进制形式打开,然后找到该函数的地址,比如说00062988
4 将该函数用00填充,移动到新地址如00070000
5 保存
6 将保存后的文件用lordpe打开,打开计算器,选择16进制,00062988-00062922+00070000,计算结果修改为新的thunkvalue。保存
注:公式-> 内存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.输入表函数名前有两个空格所以RAV的地址要减去2

[二,修改字符法]

今天定位Drat2.9卡巴特征码,是在输入表上!(这时句废话,现在卡巴基本都杀输入表)

[特征] 00025175_00000001 ZwUnmapViewOfSection 他的特征码位置是函数后面的那个00

(这个函数我在开始移动过位置,原始DAT文件的特征码是0002516A_00000001,同样是函数后面的那个00)
我开始是选择C32移动位置,LordPE修改输入表,但是不行,后来试过OD指针移位,还是不行!CALL改JMP都不行
我发现LordPE可以修改函数名称!便用C32将ZwUnmapViewOfSection函数后面加了个字符b(你可以随意加字符)

由于LordPE读取输入表函数是从ThunkValue开始,一直到这个连续的字符串后的00处!
由于在ZwUnmapViewOfSection函数后加了个字符b,现在LordPE读取的此处函数为ZwUnmapViewOfSectionb

此时将ZwUnmapViewOfSectionb函数后面的那个b删除!保存下文件,这时就免杀了!

这样一修改,在文件00025175处的16进制代码不是00,而是62,所以卡巴就过了,而用lardPE修改后函数后,文件的输入表的函数还是ZwUnmapViewOfSection,生成服务端可以运行!

【免杀经验:】

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令

2.单单加免杀花指令已经不能过卡巴,一定要配合加花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,向上拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密 源码免杀,要求楼主必须会编程语言,如C语言,E语言等。可以载入IDA中调试,通过修改源码语句。

10. 易语言做的程序是使用易语言里自带的花指令和打乱码后不易被破解还是使用超级伪装者处理后不易被破解

钓鱼?我有3防钓鱼源码,自己写的。

热点内容
鸟哥linux私房菜服务器 发布:2024-11-01 08:26:19 浏览:942
tomcat在linux下配置 发布:2024-11-01 08:09:57 浏览:94
工行密码器怎么买东西 发布:2024-11-01 08:00:02 浏览:711
查找子串的算法 发布:2024-11-01 07:58:25 浏览:214
最快学编程 发布:2024-11-01 07:30:56 浏览:527
买福克斯买哪个配置好 发布:2024-11-01 07:01:07 浏览:36
pip更新python库 发布:2024-11-01 06:42:57 浏览:666
忆捷加密软件 发布:2024-11-01 06:34:05 浏览:353
androidlistview事件冲突 发布:2024-11-01 06:23:14 浏览:858
哈灵麻将在安卓上叫什么名字 发布:2024-11-01 06:01:47 浏览:220