随着杀毒软件与木马免杀之间的对抗升级,杀毒软件也越发成熟,一些传统的木马免杀方法面临着巨大的挑战,要想在杀毒软件与木马免杀这场博弈中生存下来,扎实的木马免杀基本功是必不可少的,今天就来和大家谈一谈花指令的添加,看一看花指令在木马免杀中扮演着一个怎样的角色。
何为花指令?
“花指令” 名字到是取的挺好听的,乍一听名字 颇有一种神秘感,其实不然,所谓的花指令就是一堆汇编代码组成的垃圾代码,之所以称之为垃圾代码,那是因为它们的组成是没有任何意义的,下面我就拿简单的数学运算举个栗子吧!
image
<figcaption>
</figcaption>
X 的最初默认值为0,经过简单的运算后X值还是为0。看似做了很多操作,其实完全是在脱了裤子放屁 ,所谓的 “花指令”也是一堆这样的代码,虽然说花指令是一堆没有任何意义的垃圾代码,然而就是这样的垃圾代码用处还非常大,在软件保护领域大放光彩。
image
<figcaption>
</figcaption>
试想一下如果你是玩破解的或者是一名病毒分析师,遇到一大堆这样的垃圾代码会不会头疼,反正我肯定是会抓狂的,当然啦!我说的自然不是上面的那些代码,上面的那些代码只是用来举栗子的,浅显易懂可不能同日而语。花指令相关的知识就给大家介绍到这里,想要了解更多花指令相关的知识可以自行百度。
首先还是把你的被控端载入到 C32 以反汇编模式打开,打开后我们首先去找一大片空白区域,因为花指令占用的字节比较多,所以需要找一个大一点的空白区域写花指令,我就以下面的0040E720这个位置开始编写花指令 。
image
<figcaption>
</figcaption>
我还是以上篇文章《木马免杀之特征码跳转免杀360》的俩处代码做演示,假设这俩处代码是特征码,首先我们把第一处代码改成 JMP 0040E720,当程序执行到这句代码的时候,就会跳转到我选定的空白区域去执行,第二句代码可以直接用NOP代码填充掉。
image
<figcaption>
</figcaption>
“ 花指令 ”我就简单的写了一段做演示,具体意思也在下面解释了一下,说白了就是脱了裤子放屁的代码,像这样的花指令网上找得到很多,把准备好的花指令逐条写入选定的空白区域。
image
<figcaption>
</figcaption>
为了方便理解我打开了俩个C32,左边的是代表俩处特征码原来的位置,因为俩处特征代码的位置已经换成跳转指令,所以会从原来的位置跳转到写花指令的区域,花指令下面写的是原来的位置被填充的俩处特征码,代码全部执行完毕以后再用跳转指令,跳到原来俩句特征码所在的位置,下一句代码的位置 。
image
<figcaption>
</figcaption>
完成上面的步骤就可以保存测试了,一般没修改错误程序都是能正常执行的,当然最重要的是能不能免杀,花指令在免杀领域用的还是比较广的,花指令用好了木马免杀也就很简单了,建议有时间可以去看看汇编方面的知识。像在C32汇编模式下都是汇编指令,如果你一句都不懂是会非常头疼的。
网友评论