【asp源码栏目提醒】:网学会员鉴于大家对asp源码十分关注,论文会员在此为大家搜集整理了“木马免杀之汇编花指令技巧 - 培训资料”一文,供大家参考学习
indoc.in 文章内容版权归原作者所有 VICHU.NET 木马免杀之汇编花指令技巧 相信很多朋友都做过木马免杀早期的免杀都是加壳和改特征码现在免杀技术已经发展到花指令免杀改壳之类的而这些需要一定的汇编知识但是汇编却不是一块容易啃的骨头所以我写了这篇菜鸟版的免杀汇编教程帮助小菜们快速入门掌握免杀必备的汇编知识改花指令改特征码的技巧和编写自己的花指令。
1/D0cZktech.techweb.com.cn一、免杀必备的汇编知识 HSd-Sk:_Npush 压栈栈是一种数据结构记住四个字先进后出。
压栈就是把数据放如栈中从栈顶放如出栈的时候也是从栈顶取出所以会有先进后出的特点先进后出我们可以这样理解例如一个乒乓球筒我们放入乒乓球然后取出乒乓球取出的都是就后放进的球。
就如我们放入球的顺序是球1、2、3、4取出的顺序是球4、3、2、1。
TechWeb-技术社区2U/g r u3dD_0pd pop 出栈与push相对应。
程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛EZA/J1ckf7f2L8X6H mov ab 把b的值送给a把它看作编程中的赋值语句就是b赋值给a这时a的值就是b了。
tech.techweb.com.cn0h1aA6t1Yh nop 无作用就是什么也没做。
indoc.in 文章内容版权归原作者所有 VICHU.NET y/tq.W5gDPk retn 从堆栈取得返回地址并跳到该地址执行。
程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛7D.GpH3V8I 下面是一些算术运算指令 MQpc94KADD 加法程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛5Ft8J7t6DqS3d sub 减法 LHgTiZ.Ztech.techweb.com.cninc 加1 6IC:kF6ztech.techweb.com.cndec 减1:R2WcB2A:z 最后是跳转指令程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛L0SDan4zw.j:K9y jmp 无条件跳 :-RTc7sTechWeb-技术社区je 或jz 若相等则跳tech.techweb.com.cn3a2A8V5_5i9j indoc.in 文章内容版权归原作者所有 VICHU.NET jne或jnz 若不相等则跳 dv5k5ooqYbjb 若小于则跳1q-kbF5M jl 若小于则跳D1HO:P ja 若大于则跳程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛S-j5mua jg 若大于则跳TechWeb-技术社区9sL6G7r5eNA jle 若小于等于则跳nP0dq6f jge 若大于等于则跳 6yH0x/B-o这些就是我们需要掌握的怎么样不多吧一些指令可能看不明白看了后面的就会清楚了。
对了忘了讲寄存器了寄存器是中央处理器内的其中组成部份。
寄存器是有限存贮容量的高速存贮部件它们可用来暂存指令、数据和位址。
我们需要了解的是8个通用寄存器:EAXEBXECXEDXESIEDIEBPESP k7f5gZOFw7h程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛二、特征码和花指令的修改 indoc.in 文章内容版权归原作者所有 VICHU.NET wd:cOY0y8程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛特征码我就不多说了大家都知道的现在杀毒软件查杀都用特征码查杀改了木马的特征码杀毒软件就查不出我们的木马这样就达到免杀的效果。
而花指令是程序中的无用代码程序多它没影响少了它也能正常运行。
加花指令后杀毒软件对木马静态反汇编使木马的代码就不会正常显示出来加大杀毒软件的查杀难度。
花指令的原理是堆栈平衡。
前面介绍push说了堆栈平衡可以这样理解有进有出不管花指令怎么写我们要达到的目的是加花后堆栈与未加之前一样。
A3BB Yh5Hd网上的花指令因为是公布出来的所以免杀周期不长一般公布出来不久就会被杀毒软件查杀但是我们只要简简单单的修改一两句就可以达到免杀了。
下面我们来看看5种修改方法。
也适用于特征码修改tech.techweb.com.cn9-w-alJ R-QB4ZH 我们先看看木马彩衣金色鱼锦衣花指令:g7P5E-Tn7Ra8S6p 1、push ebp3Q6C:z:2Y:3I9h 2、mov ebpesp程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛 uv48oYRU 3、add esp-0C程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛8X6RZz9D 4、add esp0C indoc.in 文章内容版权归原作者所有 VICHU.NET :o:er:Eq3qsw:7o5、mov eax原入口P8tuj3G9N3z 6、push eax 20gK-S7t7cv程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛7、retn CZ.uk-vP3TechWeb-技术社区1、2、在大部分程序开头可以经常看到。
push ebp是将寄存器ebp压入堆栈mov ebpesp是将寄存器esp的值送给寄存器ebp。
3、4、使用了add指令add esp-0C是寄存器esp加上-0Cadd esp0C是寄存器esp加上0C3、4、加起来就是什么也没做达到堆栈平衡。
5、6、7、完成了跳转到入口点的功能我们一句句来看看mov eax原入口将入口点送入寄存器eaxpush eax将寄存器eax压入堆栈retn我们知道是从堆栈取得返回地址并跳到该地址执行。
这样就回到入口点了。
v7PE.CF0Ell我们看看实例以木马彩衣免杀为例先侦壳用peid载入显示Microsoft Visual Basic 5.0 / 6.0如图1很好免去了脱壳的麻烦复制木马彩衣后再粘贴得到复件 木马彩衣.exe我们用木马彩衣对复件 木马彩衣.exe加花加金色鱼锦衣如图2然后用Ollydbg.exe载入我们就可以看到看到金色鱼锦衣的花指令了。
如图3用卡巴扫描被卡巴认出来了。
如图4这是因为金色鱼锦衣公布比较久用的人多了对杀毒软件就无效了。
cQ.D5Q7G1I1X92o/MnTechWeb-技术社区 l9X-W/1m indoc.in 文章内容版权归原作者所有 VICHU.NET indoc.in 文章内容版权归原作者所有 VICHU.NET indoc.in 文章内容版权归原作者所有 VICHU.NET 2Yr:VV :K.XY8ptech.techweb.com.cn 8D6Y2 d3P-BTechWeb-技术社区9RzgT5x 1、替换法m7p9V:q:n9_u9:k7F 我们用替换法来修改金色鱼锦衣修改结果如下 54_c:T/oS6b1、push ebpTechWeb-技术社区7N-dozg1 2、mov ebpespP.R yj4y0D:I 3、add esp1程序开发操作系统服务器
源码下载LinuxUnixBSDPHPApachasp下载
源码黑客安全技术社区技术论坛bc dJVgdq 4、add esp-1 .-RVQoiz7k0d5I5、mov eax原入口 indoc.in 文章内容版权归原作者所有 VICHU.NET g5w/D7f2Hoj6、push eax /G0TWER-p7、retnTechWeb-技术社区f5N9m y7jf 将原来3、4、句add esp-0C和add esp0C改成add esp1和add esp-1这两句也能达到堆栈平衡如图5右键选中add esp-0C点击汇编将add esp-0C改成add esp1将add esp0C改成add esp-1。
选中修改部分右键单击→复制到可执行文件→选择部分弹出窗口右键保存文件。
这里我保存成“替换法.exe”用卡巴查杀免杀了。
如图6 M8ji.Ie:9WI 0p6n8ml indoc.in 文章内容版权归原作者所有 VICHU.NET
上一篇:
ASP程序设计课程设计报告
下一篇:
台湾海峡台风浪的数值模拟