花指令源碼
1. 〔高分〕怎麼給灰鴿子的服務端做免殺和加花指令
兄弟啊!(哭~~~)
都2008年了!還用鴿子!那個東西容易被殺(查得緊著呢!)!而且不能過主動防禦!就是免殺了也不行!讓瑞星和卡巴報發現就報XXXXXXX疑似變種,卡巴報風險軟體!聽我的,換木馬!推薦pcshare,之類的通過ssdt過主動防禦!我在用gh0st,問題是我不是學VC的,有了源碼也不好改,只是改改基本的~
交幾個朋友,共同提高水平。。
QQ:245730108
(你去看動畫,有的是,不過我多年經驗告訴我,那玩意兒不好使~除非在源代碼下加花重編譯)
免殺這東西要一次次的多試驗,那些教程不過是無數次的失敗中的偶爾幾次成功,是要付出努力的!呵呵。加油啊!
2. 灰鴿子怎麼樣才能免殺
一般都是修改特徵碼,或者無特徵碼免殺。學免殺的話去hack95安全學習網看看教程吧。
3. 易語言源碼免殺的教程 或者是免殺殼
遠控從功能上來說大同小異,都是差不多的,沒有最好的,也沒有永久免殺的遠控,最好的遠控就是自己動手編寫一款,遠控的價值在於免殺,也就是要定位出服務端的病毒特徵碼,源碼免殺需要很強的匯編功底,樓主可以考慮使用一些特徵碼輔助定位軟體,建議樓主有時間可以學習一下匯編,不需要多精通,掌握一些免殺常用的入門指令即可,網上也有免殺的視頻教學,只有自己動手打造的才能最大程度達到免殺的效果,學習的同時一定要注重底層的原理,所以有時間盡可能把匯編學好!下面是我列出的5套免殺方案,希望對樓主有所幫助,謝謝!
1.完全免殺方案一:
內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.
2.完全免殺方案二:
內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:
內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼
4.完全免殺方案四:
內存特徵碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:
內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件
還有其它免殺方案可根據第五部分任意組合.
純手敲,忘採納!
4. 安卓加密的安卓開發術語
1.混淆源碼。代碼混淆(Obfuscatedcode)亦稱花指令,可以藉助一些工具,市場有很多高級混淆代碼工具。花指令的基本原理是由設計者特別構思一些指令,可以使反匯編的時候出錯,讓破解者無法清楚正確地反匯編程序的內容,迷失方向。文件夾混淆是利用Android系統環境下的文件夾名的特殊性來對源碼文件夾進行混淆,讓混淆後的文件夾在Window看起來失去原有的邏輯性,但是完全不影響其在Android系統上的運行。Android技術驗證的原理是在代碼啟動的時候本地獲取簽名信息後對簽名信息進行檢驗來判斷自己的應用是否是正版,如果簽名信息不是正版則提示盜版或者直接崩潰。
2.使用偽加密保護方式,通過java代碼對APK(壓縮文件)進行偽加密,其修改原理是修改連續4位位元組標記為」PK0102」的後第5位位元組,奇數表示不加密偶數表示加密。偽加密後的APK不但可以防止PC端對它的解壓和查看也同樣能防止反編譯工具編譯。
3.通過標志尾添加其他數據從而防止PC工具解壓反編譯,這樣處理後把APK看做壓縮文件的PC端來說這個文件被破壞了,所以你要對其進行解壓或者查看都會提示文件已損壞,用反編譯工具也會提示文件已損壞,但是它卻不會影響在Android系統裡面的正常運行和安裝而且也能兼容到所有系統
4.對DEX、RES、SO庫等主要文件進行加密保護。Dex文件是APK中最重要、最需要保護的,因為dex中存放了代碼的信息,如果是一個沒有做過任何保護的APK,破解者通過使用dex2jar和jd-gui簡單幾步就可以查看到源碼。同樣,SO庫文件是APK的核心代碼,一旦被破解,APK就很容易被破解了。不過這方面對開發者的技術要求很高,想要簡單的話,就藉助類似於愛加密這種第三方工具。通過使用加殼技術,對dex文件做了一層保護殼,這樣破解者就無法通過正常手段反編譯出代碼文件,從而保護代碼的安全。
5. cmp比較指令的編寫 我想在OD中免殺木馬 想寫一些比較 的花指令 求高手指教一下 最好詳細一點
愛怎麼寫就怎麼寫,但你的堆棧得保持平衡,所以一般先把寄存器壓入棧,完了再彈出來。。。。。。不過,跟你說,就這點花,現在在殺軟體想免殺,別想了,360現在NB轟轟,五個引擎,雲更新又快,定位都定半年,被殺得東西南北都分不清了- -|||||
搞了一天的源碼,剛搞定四個引擎,現在被雲給秒了,我用的是ghost源碼,自己改版的,源碼現在還有點搞頭,其它的。。。。。。。。。。。。。。。。。。。。。匯編牛人玩的,想要源碼密我
-------------------瓦擦,現在才發現怎麼一點分都沒有呢,還是別來找我了。。。。
6. 別人給的易語言源碼來我自己改了下靜態編就自動加殼了
易語言花指令 不是加殼 在菜單欄 工具 系統配置 最後一個 目標安全里 把花指令 全部改成0 就好了 行了請採納 謝謝
7. 那個會編程的大哥給寫幾個花指令!
花指令實驗1
;作者:羅聰
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
.data
szText db "嘿嘿,這是一個花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0
.code
main:
jmp Do_It
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
invoke ExitProcess, 0
end main
然後用W32Dasm v10來反編譯它,得到的結果如下:(由於篇幅所限,這里只列出關鍵部分)
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)
//******************** Program Entry Point ********
:00401000 EB00 jmp 00401002
* Referenced by a (U)nconditional or ?onditional Jump at Address:
|:00401000(U)
|
:00401002 6A00 push 00000000
* Possible StringData Ref from Data Obj ->"花指令演示 by LC 2002-8-21"
|
:00401004 681F304000 push 0040301F
* Possible StringData Ref from Data Obj ->"嘿嘿,這是一個花指令程序……"
|
:00401009 6800304000 push 00403000
:0040100E 6A00 push 00000000
* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401010 E80D000000 Call 00401022
:00401015 6A00 push 00000000
* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:00401017 E800000000 Call 0040101C
哇,好誇張啊!你可能會說。反編譯出來的代碼幾乎是跟源代碼一一對應的,這樣一來?我們的程序還有什麼秘密可言呢?完全可以從反編譯的結果中理解程序的功能。
而且我們還可以在W32Dasm的「String Data References」中得到:
"嘿嘿,這個是一個花指令程序……"
"花指令演示 by LC 2002-8-21"
把剛才的源程序稍做修改,來做第二個實驗:
;***************************************************************
;花指令實驗2
;作者:羅聰
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
.data
szText db "嘿嘿,這是一個花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0
.code
main:
jz Do_It ;注意這里和第一個實驗中的源程序的區別
jnz Do_It ;注意這里和第一個實驗中的源程序的區別
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
end main
用W32Dasm反編譯一下:
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)
//******************** Program Entry Point ********
:00401000 7402 je 00401004
:00401002 7500 jne 00401004
* Referenced by a (U)nconditional or ?onditional Jump at Addresses:
|:00401000?, :00401002?
|
:00401004 6A00 push 00000000
* Possible StringData Ref from Data Obj ->"花指令演示 by LC 2002-8-21"
|
:00401006 681F304000 push 0040301F
* Possible StringData Ref from Data Obj ->"嘿嘿,這是一個花指令程序……"
|
:0040100B 6800304000 push 00403000
:00401010 6A00 push 00000000
* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401012 E801000000 Call 00401018
可以看出,這時的W32Dasm反編譯出來的匯編指令還是正確的。但是W32Dasm其實已經逐漸落入我們設下的「陷阱」了。
下面我們來做第三個實驗,把源程序改成:
;***************************************************************
;花指令實驗3
;作者:羅聰
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
.data
szText db "嘿嘿,這是一個花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0
.code
main:
jz Do_It ;注意這里和第一個實驗中的源程序的區別
jnz Do_It ;注意這里和第一個實驗中的源程序的區別
db 0E8h ;注意這里和第二個實驗中的源程序的區別
Do_It:
invoke MessageBox, NULL, addr szText, addr szCaption, MB_OK
invoke ExitProcess, 0
end main
我們來看看W32Dasm中反編譯出來的東西:
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)
//******************** Program Entry Point ********
:00401000 7403 je 00401005
:00401002 7501 jne 00401005
:00401004 E86A00681D call 1DA81073
:00401009 304000 xor byte ptr [eax+00], al
* Possible StringData Ref from Data Obj ->"嘿嘿,這是一個花指令程序……"
|
:0040100C 6800304000 push 00403000
:00401011 6A00 push 00000000
* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401013 E80E000000 Call 00401026
:00401018 6A00 push 00000000
* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:0040101A E801000000 Call 00401020
呵呵,很明顯了,這時的 00401004 到 00401009 行出錯了,而且這時查看「String Data References」,也只剩下了:
"嘿嘿,這是一個花指令程序……"
讓我們進一步隱藏信息,做第四個實驗:
;***************************************************************
;花指令實驗4
;作者:羅聰
;日期:2002-8-21
;***************************************************************
.386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
.data
szText db "嘿嘿,這是一個花指令程序……", 0
szCaption db "花指令演示 by LC 2002-8-21", 0
.code
main:
jz Do_It ;注意這里和第一個實驗中的源程序的區別
jnz Do_It ;注意這里和第一個實驗中的源程序的區別
db 0E8h ;注意這里和第二個實驗中的源程序的區別
Do_It:
lea eax, szText ;注意這里和第三個實驗中的源程序的區別
lea ebx, szCaption ;注意這里和第三個實驗中的源程序的區別
invoke MessageBox, NULL, eax, ebx, MB_OK ;注意這里和第三個實驗中的源程序的區別
invoke ExitProcess, 0
end main
編譯,再用W32Dasm反編譯,得到的是:
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401000 (hua.exe File Offset:00001600)
//******************** Program Entry Point ********
:00401000 7403 je 00401005
:00401002 7501 jne 00401005
:00401004 E88D050030 call 30401596
:00401009 40 inc eax
:0040100A 008D1D1D3040 add byte ptr [ebp+40301D1D], cl
:00401010 006A00 add byte ptr [edx+00], ch
:00401013 53 push ebx
:00401014 50 push eax
:00401015 6A00 push 00000000
* Reference T USER32.MessageBoxA, Ord:01BBh
|
:00401017 E80E000000 Call 0040102A
:0040101C 6A00 push 00000000
* Reference T KERNEL32.ExitProcess, Ord:0075h
|
:0040101E E801000000 Call 00401024
呵呵,這次不但面目全非了,而且「String Data References」按鈕已經變成了灰色。什麼蛛絲馬跡都沒有了。
各位看官看到這里明白了嗎?其實花指令就是人為地構造一些「陷阱」和一些無用的位元組。例如第二個實驗中的:
jz Do_It
jnz Do_It
其實這個跟 jmp Do_It 還不是一樣嗎?(呵呵,如果在大學的期末考試里這樣寫,一定會被判不及格……)
是的,其實程序原有的功能和邏輯還是一樣的,我們只不過是換了一種表現形式而已。然而,反編譯工具是沒有人腦那麼智能的,它們往往就會把這些指令理解錯,從而錯誤地確定了指令的起始位置。
要實現這種絕對跳轉的功能,還可以用很多的方法,例如:
Push Do_It
ret
花指令是很容易理解的,不過大家要注意適時而用,不要濫用啊,能起到迷惑破解者和隱藏信息的作用就行了,不然將來要維護代碼時,我怕被迷惑的反而是你自己哦,呵呵……
8. 求高人教免殺
全部都是要錢的,這里不要錢飯客網路一周年免費免殺培訓之菜鳥學免殺
第一課、免殺之序http://www.hackfans.com.cn/miansha/cnms1.rar第二課、我愛定位特徵碼http://www.hackfans.com.cn/miansha/cnms2.rar第三課、PE文件講解http://www.hackfans.com.cn/miansha/cnms3.rar第四課、詳解特徵碼修改方法http://www.hackfans.com.cn/miansha/cnms4.rar第五課、實戰PcShare定製版PE頭移位http://www.hackfans.com.cn/miansha/cnms5.rar第六課、實戰PcShare定製版瑞星金山http://www.hackfans.com.cn/miansha/cnms6.rar第七課、輸出表免殺方法http://www.hackfans.com.cn/miansha/cnms7.rar
飯客網路一周年免費免殺培訓之輸入表 飯客網路一周年免費免殺培訓之輸入表:第一課http://bbs.hackfans.com.cn/thread-92500-1-1.html
飯客網路一周年免費免殺培訓之輸入表:第二課http://bbs.hackfans.com.cn/thread-92503-1-1.html
飯客網路一周年免費免殺培訓之輸入表:第三課http://bbs.hackfans.com.cn/thread-92505-1-1.html
飯客網路一周年免費免殺培訓之輸入表:第四課http://bbs.hackfans.com.cn/thread-92506-1-1.html
飯客網路一周年免費免殺培訓之輸入表:第五課http://bbs.hackfans.com.cn/thread-92507-1-1.html
飯客網路一周年免費免殺培訓之輸入表:第六課http://www.hackfans.com.cn/mianfei/miansha/sub6.rar
飯客網路一周年免費免殺培訓之輸入表:第七課http://www.hackfans.com.cn/mianfei/miansha/srb/7.rar
飯客網路一周年免費免殺培訓之輸入表:第八課http://www.hackfans.com.cn/mianfei/miansha/srb/8.rar
飯客網路一周年免費免殺培訓之輸入表:第九課http://www.hackfans.com.cn/mianfei/miansha/srb/9.rar
飯客網路一周年免費免殺培訓之無特徵碼免殺 第一課、全自動定位瑞星特徵碼http://www.hackfans.com.cn/mianfei/miansha/1.rar第二課、無特徵碼免殺的基礎http://www.hackfans.com.cn/mianfei/miansha/2.rar第三課、多種模式實戰區段加密免殺http://www.hackfans.com.cn/mianfei/miansha/3.rar第四課、無特徵碼免殺匯編基礎知識http://www.hackfans.com.cn/mianfei/miansha/4.rar第五課、區段加密技術的加固和延展http://www.hackfans.com.cn/mianfei/miansha/5.rar第六課、無特徵碼免殺實戰金山http://www.hackfans.com.cn/mianfei/miansha/6.rar第七課、無特徵碼免殺瑞星總結http://www.hackfans.com.cn/mianfei/miansha/7.rar第八課、花指令的編寫和應用組合http://www.hackfans.com.cn/mianfei/miansha/8.rar第九課、無特徵碼免殺NOD32專題(一)http://www.hackfans.com.cn/mianfei/miansha/9.rar第十課、鳳凰ABC巧施妙計過360雙引擎http://www.hackfans.com.cn/mianfei/miansha/10.rar第十一課、江民全自動定位和資源段的合理加密 http://www.hackfans.com.cn/mianfei/miansha/11.rar第十二課、江民資源段的科學加密彌補十一課的不足http://www.hackfans.com.cn/mianfei/miansha/12.rar第十三課、移形換位免殺思路http://www.hackfans.com.cn/mianfei/miansha/13aa.rar第十四課、另類異或加密http://www.hackfans.com.cn/mianfei/miansha/14s.rar第十五課、關於360殺軟殺加密入口點的研究http://www.hackfans.com.cn/mianfei/miansha/15bb.rar第十六課、分析別人的免殺思路據為己有http://www.hackfans.com.cn/mianfei/miansha/16.rar第十七課、多功能花指令的使用變形記http://www.hackfans.com.cn/mianfei/miansha/17si.rar第十八課、輸入表隱藏法(一)http://www.hackfans.com.cn/mianfei/miansha/18.rar第十九課、輸入表隱藏法(二)http://www.hackfans.com.cn/mianfei/miansha/19.rar第二十課、輸入表的完全泯滅http://www.hackfans.com.cn/mianfei/miansha/20.rar第二十一課、無特徵免殺綜合思路形成(一)http://www.hackfans.com.cn/mianfei/miansha/21.rar第二十二課、無特徵免殺綜合思路形成(二)http://www.hackfans.com.cn/mianfei/miansha/22.rar第二十三課、無特徵免殺綜合思路形成(三)http://www.hackfans.com.cn/mianfei/miansha/23.rar第二十四課、無特徵碼免殺總結合集(一)http://www.hackfans.com.cn/mianfei/miansha/24.rar第二十五課、無特徵碼免殺總結合集(二)http://www.hackfans.com.cn/mianfei/miansha/25.rar第二十六課、無特徵碼免殺終章 帶你做免殺+免殺補丁http://www.hackfans.com.cn/mianfei/miansha/26.rar第二十七課、定位小紅傘教程 http://www.hackfans.com.cn/mianfei/miansha/xhsdw.rar第二十八課、詳解定位NOD32教程http://www.hackfans.com.cn/mianfei/miansha/dwnod32.rar第二十九課、詳解修改NOD32特徵碼http://www.hackfans.com.cn/mianfei/miansha/xgnod.rar第三十課、簡單過360雲查殺http://www.hackfans.com.cn/mianfei/miansha/360yun.rar第三十一課、非完美過 7.1安全衛士 提示+雲http://www.hackfans.com.cn/miansha/tishiyun.rar飯客網路一周年免費免殺培訓之Gh0st系列源碼免殺
Gh0st系列源碼免殺第一課:Gh0st源碼免殺基礎知識http://www.hackfans.com.cn/yuanma/ymms1.rar
Gh0st系列源碼免殺第二課:預處理+實戰瑞星表面http://www.hackfans.com.cn/yuanma/ymms2.rar
Gh0st系列源碼免殺第三課:實戰360殺毒http://www.hackfans.com.cn/yuanma/ymms3.rar
Gh0st系列源碼免殺第四課:實戰金山2011雲防禦和普通查殺http://www.hackfans.com.cn/yuanma/ymms4.rar
Gh0st系列源碼免殺第五課:實戰過江民及其主動http://www.hackfans.com.cn/yuanma/ymms5.rar
Gh0st系列源碼免殺第六課:Pass360安全衛士教程+工具http://bbs.hackfans.com.cn/thread-92569-1-1.html
Gh0st系列源碼免殺第七課:免殺卡巴斯基2010高啟發(包括生成)http://bbs.hackfans.com.cn/thread-92581-1-1.html
Gh0st系列源碼免殺第八課:完完全全過瑞星行為防禦http://bbs.hackfans.com.cn/thread-92591-1-1.html
Gh0st系列源碼免殺第九課:實戰NOD32http://www.hackfans.com.cn/yuanma/ymms9.rar
小弟辛苦收集的,版主大哥加點分。
9. 免殺的方法
一.入口點加1免殺法:
1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺]
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可
【二.變化入口地址免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址
【三.加花指令法免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
【四.加殼或加偽裝殼免殺法:】
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳
【五.打亂殼的頭文件或殼中加花免殺法:】
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
【六.修改文件特徵碼免殺法:】
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達
到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好
[特徵碼修改方法]
特徵碼修改包括文件特徵碼修改和內存特徵碼修改,因為這二種特徵碼的修改方
法是通用的。所以就對目前流行的特徵碼修改方法作個總節。
[方法一:直接修改特徵碼的十六進製法]
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能否正常使用.
[方法二:修改字元串大小寫法]
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.
[方法三:等價替換法]
1.修改方法:把特徵碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.如果和我一樣對匯編不懂的可以去查查8080匯編手冊.
[方法四:指令順序調換法]
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後要不能影響程序的正常執行
[方法五:通用跳轉法]
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用范圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
木馬免殺的綜合修改方法
文件免殺方法:1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特徵碼的5種常用方法
5.還有其它的幾種免殺修改技巧
【七.內存免殺方法:】
修改內存特徵碼:
方法1>直接修改特徵碼的十六進製法
方法2>修改字元串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
殼入口修改法
1.用到工具:壓縮殼 OD
2.特點:操作簡單 免殺效果好
3.操作步驟:首先給木馬加壓縮殼 然後用OD載入,在入口處的前15句中NOP掉某些代碼或者等價代換某些代碼
【八.輸入表免殺方法:】
[一,移位法]
1 首先用lordpe打開,目錄,導入表找到你要改的函數。比如說CommandLineA
2 記下未改前函數的thunkvalue 舉例:00062922
3 將要修改的文件用winhex等16進制形式打開,然後找到該函數的地址,比如說00062988
4 將該函數用00填充,移動到新地址如00070000
5 保存
6 將保存後的文件用lordpe打開,打開計算器,選擇16進制,00062988-00062922+00070000,計算結果修改為新的thunkvalue。保存
註:公式-> 內存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.輸入表函數名前有兩個空格所以RAV的地址要減去2
[二,修改字元法]
今天定位Drat2.9卡巴特徵碼,是在輸入表上!(這時句廢話,現在卡巴基本都殺輸入表)
[特徵] 00025175_00000001 ZwUnmapViewOfSection 他的特徵碼位置是函數後面的那個00
(這個函數我在開始移動過位置,原始DAT文件的特徵碼是0002516A_00000001,同樣是函數後面的那個00)
我開始是選擇C32移動位置,LordPE修改輸入表,但是不行,後來試過OD指針移位,還是不行!CALL改JMP都不行
我發現LordPE可以修改函數名稱!便用C32將ZwUnmapViewOfSection函數後面加了個字元b(你可以隨意加字元)
由於LordPE讀取輸入表函數是從ThunkValue開始,一直到這個連續的字元串後的00處!
由於在ZwUnmapViewOfSection函數後加了個字元b,現在LordPE讀取的此處函數為ZwUnmapViewOfSectionb
此時將ZwUnmapViewOfSectionb函數後面的那個b刪除!保存下文件,這時就免殺了!
這樣一修改,在文件00025175處的16進制代碼不是00,而是62,所以卡巴就過了,而用lardPE修改後函數後,文件的輸入表的函數還是ZwUnmapViewOfSection,生成服務端可以運行!
【免殺經驗:】
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指令
2.單單加免殺花指令已經不能過卡巴,一定要配合加花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,向上拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法: 1.加北斗內存免殺壓縮殼 2.加過瑞星表面的專用加密工具. 3.用maskPE加密工具加密 源碼免殺,要求樓主必須會編程語言,如C語言,E語言等。可以載入IDA中調試,通過修改源碼語句。
10. 易語言做的程序是使用易語言里自帶的花指令和打亂碼後不易被破解還是使用超級偽裝者處理後不易被破解
釣魚?我有3防釣魚源碼,自己寫的。