GHOST系统之家 - Windows系统光盘下载网站!
当前位置:GHOST系统之家>电脑问题 > 任意组合指令达到免杀

任意组合指令达到免杀

来源:Ghost系统之家浏览:时间:2022-10-24 07:21:36

注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp

pop ebp

push eax

pop eax

push esp

pop esp

push 0

push 0

push 10 -------其中数字可以任意,注意与下面对应

push -10

nop -----------可任意在中间添加

与它等效的:

mov EDI,EDI

add esp,1 -------其中数字可以任意,注意以下面对应

add esp,-1

add esp,1 --------其中数字可以任意,注意以下面对应

sub esp,1

inc ecx

dec ecx

sub eax, -2 ----------其中数字可任意,与dec的个数对应

dec eax

dec eax

add eax -2 ----------其中数字可任意,与inc的个数对应

inc eax

inc eax

jmp 下一个jmp地址

jmp 下一个地址

push ebp

mov ebp,esp -------可做为花指令的开头句

jmp 入口地址 ------跳到程序入口地址

与它效果一样的还有(以下三个):

push 入口地址

retn

jb 入口地址

jnb 入口地址

mov eax,入口地址

jmp eax

********

用北斗压缩后----再VMProtect加密后,可过瑞星表面

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop ----一般插在中间

4.jmp 一下jmp的地址

jmp ...

5.add esp,1 ----数字可以改变

sub esp,1

  1. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

  1. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

***

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop


jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp ---直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

***********

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指


2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop ----一般插在中间

4.jmp 一下jmp的地址

jmp ...

5.add esp,1 ----数字可以改变

sub esp,1

  1. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

  1. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

***

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop


jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp ---直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

***********

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指


2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密.

1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop ----一般插在中间

4.jmp 一下jmp的地址

jmp ...

5.add esp,1 ----数字可以改变

sub esp,1

  1. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址-

jmp XXXXXX等价于:

PUSH XXXXXX

RETN

  1. 免杀卡巴的花指令:

push ebx

push ebx

push ebx

pop ebx

pop ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn

***

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop


jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp ---直接被杀

改成

jb

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax

17.一段免杀卡巴的花指令:

push ebx

push ebx

pop ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

***********

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指


2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密.

标签:

推荐系统

  • 雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    语言:中文版系统大小:5.91GB系统类型:Win7

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户

  • 番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    语言:中文版系统大小:3.91GB系统类型:Win7

    欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统

  • 番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动

  • 雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程