任意组合指令达到免杀
注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
与它等效的:
mov EDI,EDI
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
********
用北斗压缩后----再VMProtect加密后,可过瑞星表面
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
- add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-
jmp XXXXXX等价于:
PUSH XXXXXX
RETN
- 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn
***
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
***********
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
- add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-
jmp XXXXXX等价于:
PUSH XXXXXX
RETN
- 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn
***
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
***********
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
- add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-
jmp XXXXXX等价于:
PUSH XXXXXX
RETN
- 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn
***
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
***********
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
推荐系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- 或将成主流安全解决方案,SASE能为企业带来什么?
- 企业组织面临的高级云基础设施风险
- 教你破解Mysql root密码的方法
- Nmap备忘单:从探索到漏洞利用 第三章 NSE脚本的使用
- 屏幕闪烁是什么原因 电脑屏幕闪烁的解决办法
- 你的网络安全投资真的行之有效吗?
- 3·15剑指数据隐私保护,数字经济时代还要“裸奔”多久?
- FreakOut 僵尸网络分析
- 技嘉遭勒索软件攻击112GB数据存风险
- 最新调查:Windows修补速度最快,但漏洞却比Mac多4倍
- 小心!新的Android银行木马潜伏于112个金融应用程序
- 关于Google Chrome远程代码执行0Day漏洞通报
- Webshell与Serv-u结合获系统最高权限
- 从Dridex到Hades:多重打压下,曲线赚钱的INDRIK SPIDER犯罪组织
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 5win7蓝屏代码7f指什 怎么解决 很严重
- 6二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 7Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 8华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 9aoc一体机电脑win10改win7系统及bios设置
- 10高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
常用系统
- 1番茄花园 Ghost XP SP3 海量驱动装机版 2018年4月 最新版ISO镜像下载
- 2深度技术Ghost Win8.1 x32位 特别纯净版2020年10月(免激活) ISO镜像高速下载
- 3笔记本&台式机专用系统 GhostWin7 32位旗舰版2020年3月(32位) ISO镜像免费下载
- 4番茄花园Ghost Win8.1 (X32) 纯净版2020年8月(免激活) ISO镜像免费下载
- 5深度技术 Windows 10 x86 企业版 电脑城装机版2018年4月(32位) ISO镜像免费下载
- 6笔记本&台式机专用系统 GhostWin7 64位旗舰版2018年7月(64位)快速版IS下载
- 7笔记本&台式机专用系统 Windows10 新春特别 企业版 2021年2月(32位) ISO镜像快速下载
- 8新雨林木风 Windows10 x86 企业装机版2019年6月(32位) ISO镜像高速下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2020年7月(免激活) ISO镜像高速下载
- 10电脑公司 装机专用系统Windows10 x64 企业版2020年12月(64位) ISO镜像高速下载