• 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

[免杀]加花指令逃杀

免杀技术 Time_泽 ~少 2829次浏览 已收录 0个评论 扫描二维码

[免杀]加花指令逃杀

加花指令逃杀原理:

加花即在木马程序中加入一段任意代码,加入这些代码后程序还是可以正常运行的,这些代码实际为汇编代码,让程序到处转跳,让杀毒软件难以查找到病毒特征码,而使得木马逃过特征码的查杀,即免杀。这种方式免杀效果较好,高级点的需要入口点配置,修改区域代码。

下面列举几个用的比较多的加花工具,效果都是不错的。

1、”牧马游名”超级加花器,可使用多种花指令。

[免杀]加花指令逃杀

注:花指令的名称可以使中文或者英文,花指令内容必须是连续16进制码,不能有空格,花指令内容大小应小于255字节。

下载链接 密码:x9m6

2、怒剑狂花加花器

[免杀]加花指令逃杀

下载链接 密码:af63
感觉简单点也是好的。

3、UPX加壳/免杀/添加花指令     —–其实这个只是偶然看见的,我只是顺便看的功能比较多把他放上来了。

[免杀]加花指令逃杀

下载链接 密码:njfc

加花方法:

1.直接加花

记住入口点—找零区域—NOP填充—记住新入口点—编写花指令跳转回原入口点—保存文件— lordPE修改新入口点

2.去头加花

首先我们配置一个无壳的服务端,然后用OD载入后记下从入口点地址开始往下选择几处然后复制,再NOP掉,然后找到空白区域,写一些比如跳转的花指令代码后再把NOP掉的写上,再跳转回刚刚NOP掉的入口点下面的代码地址。

3.加多重花

首先我们配置一个无壳的服务端,然后用OD载入后记下入口点地址然后找到几处空白地址,当然这个大家可以找多处。我这里提供的是给大家一个思路,我就找了2处空白地址。然后我们首先记下第一处空白地址。这个我们记下是新的空白地址,然后第2处空白地址我们记下为跳转2 。最后我们跳到入口点。然后用lordPE修改入口点,至此一个加多重花的服务端就完成了。简单明了就是经过多处零区域的跳转。

4.加区加花

首先通过加区段工具给无壳的服务端加一个区段。区段名子随便填写,比如hacker,大小一般填写在50-200 就好了。然后我们用LORDPE打开首先记下入口点。然后选择区段记下新添加的HACKER区段的入口点。因为我们要写花指令,所以我们在入口点设置为HACKER区段的比入口点稍微大点的地址。然后我们在写花指令。通常找不到零区域的时候就可以加区段。

实际物理地址(OD载入的入口点)= 内存地址(0000F000)+镜象基址(RVA)

5.壳中加花

用加壳工具(如ASPACK壳)给服务端先加一层壳,然后在加花指令。事先记好入口点

7.壳中加区加花

加壳—加区段—加花指令    综合了以上所有方法。

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: [免杀]加花指令逃杀

[免杀]加花指令逃杀



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明[免杀]加花指令逃杀
喜欢 (1)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填