也想出现在这里? 联系我们

任意组合指令达到免杀

作者 : 小编 本文共4713个字,预计阅读时间需要12分钟 发布时间: 2021-06-1 共3.48K人阅读
也想出现在这里? 联系我们

注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp

pop ebp

push eax

pop eax

push esp

pop esp

push 0

push 0

push 10 ——-其中数字可以任意,注意与下面对应

push -10

nop ———–可任意在中间添加

与它等效的:

mov EDI,EDI

add esp,1 ——-其中数字可以任意,注意以下面对应

add esp,-1

add esp,1 ——–其中数字可以任意,注意以下面对应

sub esp,1

inc ecx

dec ecx

sub eax, -2 ———-其中数字可任意,与dec的个数对应

dec eax

dec eax

add eax -2 ———-其中数字可任意,与inc的个数对应

inc eax

inc eax

jmp 下一个jmp地址

jmp 下一个地址

push ebp

mov ebp,esp ——-可做为花指令的开头句

jmp 入口地址 ——跳到程序入口地址

与它效果一样的还有(以下三个):

push 入口地址

retn

jb 入口地址

jnb 入口地址

mov eax,入口地址

jmp eax

************************************************

用北斗压缩后—-再VMProtect加密后,可过瑞星表面

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop —-一般插在中间

4.jmp 一下jmp的地址

jmp …

5.add esp,1 —-数字可以改变

sub esp,1

6. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

12. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

*************

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop

15.

jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp —直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

*****************************************************************

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴—-如加密工具vmprotect

脱壳过的木马—加花指令,或加区加花—加密—加压缩壳—再加区加花指

2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密—-再加花—–可过卡巴:

3.加双层花指令免杀法—-免卡巴

4.加密—007内存免—-加压 —免卡巴或内存.

5.双层加密(maskpE)—加压 —-可过卡巴.

6.maskpe加密—asppack加壳 —改入口点加1—可过卡巴

7.加密maskpe—-加花或加区加花(用工具)—–加压缩壳—免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点—加花—-加密(vmprotect) —-加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop —-一般插在中间

4.jmp 一下jmp的地址

jmp …

5.add esp,1 —-数字可以改变

sub esp,1

6. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

12. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

*************

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop

15.

jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp —直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

*****************************************************************

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴—-如加密工具vmprotect

脱壳过的木马—加花指令,或加区加花—加密—加压缩壳—再加区加花指

2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密—-再加花—–可过卡巴:

3.加双层花指令免杀法—-免卡巴

4.加密—007内存免—-加压 —免卡巴或内存.

5.双层加密(maskpE)—加压 —-可过卡巴.

6.maskpe加密—asppack加壳 —改入口点加1—可过卡巴

7.加密maskpe—-加花或加区加花(用工具)—–加压缩壳—免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点—加花—-加密(vmprotect) —-加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密.

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop —-一般插在中间

4.jmp 一下jmp的地址

jmp …

5.add esp,1 —-数字可以改变

sub esp,1

6. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

12. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

*************

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop

15.

jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp —直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

*****************************************************************

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴—-如加密工具vmprotect

脱壳过的木马—加花指令,或加区加花—加密—加压缩壳—再加区加花指

2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密—-再加花—–可过卡巴:

3.加双层花指令免杀法—-免卡巴

4.加密—007内存免—-加压 —免卡巴或内存.

5.双层加密(maskpE)—加压 —-可过卡巴.

6.maskpe加密—asppack加壳 —改入口点加1—可过卡巴

7.加密maskpe—-加花或加区加花(用工具)—–加压缩壳—免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点—加花—-加密(vmprotect) —-加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密.

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 任意组合指令达到免杀

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录