任意组合指令达到免杀
互联网 发布时间:2008-10-08 21:27:51 作者:佚名 
我要评论
我要评论注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中
注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
与它等效的:
mov EDI,EDI add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址 push ebp
mov ebp,esp -------可做为花指令的开头句 jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax ************************************************
用北斗压缩后----再VMProtect加密后,可过瑞星表面 1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
与它等效的:
mov EDI,EDI add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址 push ebp
mov ebp,esp -------可做为花指令的开头句 jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax ************************************************
用北斗压缩后----再VMProtect加密后,可过瑞星表面 1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址- jmp XXXXXX等价于:
PUSH XXXXXX
RETN 12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn *************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口 14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax 17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴. 13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
相关文章
- 很多游戏服务器租用的时候会出现一些封UDP的字眼,网上一些文章也说UDP协议不可靠!为什么要封UDP呢?既然不可靠,为什么有些人还要使用它呢?今天与你们分享一下UDP,希望2024-05-07
- 魔兽世界服务器被攻击在目前来说也是比较常见的,同行竞争激烈,在官服开放时也遇到过DDOS攻击,要是飞飞没记错是在22年9月14日,从刚开始的身份验证服务器出现问题,到确2023-07-17
- 这篇文章主要分享一下五大免费企业网络入侵检测(IDS)工具,当前企业对于网络安全越来越重视,那么后期可能就需要大家多多关注一些安全工具的使用于检测2019-12-01
网络协议是什么呢?网络协议是网络中计算机或设备之间进行通信的一系列规则集合。本文中小编介绍的是网络协议和安全威胁的关系,需要的朋友不妨阅读本文了解一下2019-04-02
DDoS攻击是由DoS攻击转化的,这项攻击的原理以及表现形式是怎样的呢?要如何的进行防御呢?本文中将会有详细的介绍,需要的朋友不妨阅读本文进行参考2019-01-15
本文中介绍的是基于Web攻击的方式发现并攻击物联网设备,感兴趣的朋友不妨阅读本文进行了解2019-01-11
起首说说挟制路由器是什么意思,路由器挟制平日指的是,开启了无线网络功效的无线路由器,攻击者经由过程破解无线暗码衔接上无线网后,再登录路由治理界面来节制全部无线网2018-05-16
大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设
这篇文章主要介绍了大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设置方法详解,,小编觉得还是挺不错的,具有一定借鉴价值,下面就来和小编一起看看2018-01-25
详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密
这篇文章主要介绍了详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密,如何保护sd卡文件的安全,如何给SD卡设置密码、如何给SD卡加密,下面就跟小编一起来看看吧2018-01-19
server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法
这篇文章主要介绍了server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法详细介绍,保护服务器共享文件设置访问权限,让每个部门只访问自己的共享文件等,2018-01-19
最新评论