木马免杀花指令的写法
来源:互联网 发布:十二楼李渔知乎 编辑:程序博客网 时间:2024/06/11 19:53
所谓花指令就是汇编指令保持堆栈的平衡而胡乱写的
push ebp和pop ebp是废话
inc ecx dec ecx是废话
push eax /pop eax是废话
add esp,+0c / add esp,-0c
是废话
push esi /push edi
push 415448 -/___
PUSH 4021A8 -/ 在这段代码中类似这样的操作数可以乱填
ADD BYTE PTR DS:[EAX],AL 这句也随便可以写在一个地方
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP 以上三句也是
在mov ebp,eax
后面加上
PUSH EAX
POP EAX
以上是化指令的中间写法,开头主要用
push ebp
mov ebp,esp
或者
XCHG EAX,EBX ; getkey.<模块入口点>
MOV EBP,ESP
PUSH EAX 开头写法
POP EAX
MOV EBP,ESP
跳回入口方法
mov eax,00401000 00401000填你修改程序的原始入口地址<注意>~!!
push eax
retn
或者直接JMP跳回
一下是一个例子:
push ebp
pop ebp
mov cl, 1
sub al, 90
xchg eax, ebp
dec ebp
inc edx
inc eax
and ah, al
adc dword ptr [eax+6], 6E
and ch, [edx-1C]
nop
nop
nop
nop
call 004A1E48
++++++++++++++++++++++++++++++++++++++
菜菜写花指令的手册
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
mov edi,edi -----效果与nop一样
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub,eax,-2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add,eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
- 木马免杀花指令的写法
- DLL木马的写法
- 一句话木马的多种写法
- swig 指令文件写法
- 新的木马模式
- 木马的分析方法
- 木马绑定的原理
- DLL木马的原理
- 常见的木马端口
- 诡秘的DLL木马
- vb的木马初探
- 一款木马的分析
- 木马图片的问题
- 一款木马的分析
- 一句话木马的原理
- 木马的危害性
- 木马的防范
- 查找木马的方式
- fedora core 2启动服务详解
- FireFox 必备插件(五)
- linux主要系统服务介绍
- 如何安装配置你的tomcat5并绑定域名
- 系统服务挂钩(HOOK) -1
- 木马免杀花指令的写法
- Visual Studio 2005 Team Foundation Server 已知问题
- 通用且简单的扩充和改造PE中的call的功能的方法
- 初学者分析MFC代码1
- 团队开发经验:如何带领一个项目团队并做好项目总结 !!
- 简单SNMP管理程序的VC++代码实例实现
- PE引入表修改实战
- socket网络编程的一些基础知识
- [3-21]论web项目小组的流程以及成员该如何组成