|
- 帖子
- 172
- 积分
- 348
- 威望
- 440
- 金钱
- 346
- 在线时间
- 21 小时
|
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
mov edi,edi ------效果与nop一样
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, 2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add,eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
********************************************
根据上的花指令编写手册,很容易就可以编写自己的免杀花指令.
这是我原创的免杀花指令:
push ebp
push ebp
nop
nop
pop ebp
pop ebp
add esp,1
sub esp,1
push 10
push -2
push -8
add esp 5
add esp -5
push 入口地址
retn
*******************************************
第二个:
push ebp
mov ebp,esp
add esp,2
dec esp
dec esp
nop
nop
add esp,6
sub esp 6
je 入口地址
jne 入口地址
花指令的编写其实很简单,只要能让它达到平衡就可以了.
建议参考8086汇编手册 |
|
发表于 2010-11-6 20:26
| 