这些成双花指令自由组合可以达到免杀效果过瑞星表面的查杀方法

2018-02-11 10:29:10责编：llp 来源：驱动管家人气：

注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.

push ebp

pop ebp

push eax

pop eax

push esp

pop esp

push 0

push 10 -------其中数字可以任意,注意与下面对应

push -10

nop -----------可任意在中间添加

与它等效的:

mov EDI,EDI add esp,1 -------其中数字可以任意,注意以下面对应

add esp,-1

add esp,1 --------其中数字可以任意,注意以下面对应

sub esp,1

inc ecx

dec ecx

sub eax, -2 ----------其中数字可任意,与dec的个数对应

dec eax

add eax -2 ----------其中数字可任意,与inc的个数对应

inc eax

jmp 下一个jmp地址

jmp 下一个地址 push ebp

mov ebp,esp -------可做为花指令的开头句 jmp 入口地址 ------跳到程序入口地址

与它效果一样的还有(以下三个):

push 入口地址

retn

jb 入口地址

jnb 入口地址

mov eax,入口地址

jmp eax ************************************************

用北斗压缩后----再VMProtect加密后,可过瑞星表面 1.POP 0

POP 0

2.PUSH ebp

pop ebp

3.nop ----一般插在中间

4.jmp 一下jmp的地址

jmp ...

5.add esp,1 ----数字可以改变

sub esp,1

6. add esp,1

add esp,-1

7.sub esp,1

sub esp,-1

8.push esi

push edi

9.inc ecx

dec ecx

10 sub eax,-2

dec eax

11.(该免杀花指令经典,压缩可运行,免卡巴)

push ebp

mov ebp,esp

pop esp

jmp 原入口点地址- jmp XXXXXX等价于:

PUSH XXXXXX

RETN 12. 免杀卡巴的花指令:

push ebx

pop ebx

jmp 跳到下一个地址

add esp,1

add esp,-1

push 入口点地址

retn *************

12.(同上)

push ebp

push esp

pop ebp

pop esp

jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口 14.免杀花指令

push ebp

mov ebp,esp

add esp,-0C

add esp,0C

push eax

mov eax,入口地址

jmp eax

nop

15.

jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀

jmp ---直接被杀

改成

jnb

或改成:

push 入口地址

retn

或改成:

mov eax,入口地址

jmp eax 17.一段免杀卡巴的花指令:

push ebx

pop ebx

add esp,1

add esp,-1

push 入口地址

retn

这些成双花指令自由组合可以达到免杀效果过瑞星表面的查杀方法

免杀经验:

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指

令

2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:

1.加北斗内存免杀压缩壳

2.加过瑞星表面的专用加密工具.

3.用maskPE加密工具加密

简单谈谈哪些类型的网络管理员具有不安全因素？
Jeff Dray最近经过对IT行业的深入调查研究，通过总结和分析针对IT行业列出了一份类别名单。在这里，他定义了七类最不安全的网络管理员。如果你是一名网络管理员，并且已经意识到工作中还存在着不足，看看你属于
详情2018-01-15 16:49:50责编：llp 来源：驱动管家
dns服务器怎么防御攻击？保护dns服务器的方法是什么？
虽然现在看来已经可以算是陈年旧事，但就在互联网刚刚诞生的约二十年前，我们曾面临着一个巨大的难题：邮件服务器太过友好。简而言之，大多数邮件服务器允许任何人进行接入，并将邮件发送给任何收件者。要实现这
详情2018-01-17 18:08:10责编：llp 来源：驱动管家
mssql数据库，权限是sa，加上后台有上传文件就能得到webshell
想必大家都知道MSSQL中SA权限是什么，可以说是至高无上。今天我就它的危害再谈点儿，我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件，否则得到Shell是有难度的。1．存在SQL注入，并且数据库类型
详情2018-01-20 09:31:03责编：llp 来源：驱动管家
远程软件怎么访问硬盘？远程软件访问硬盘的方法？
很多时候当一台计算机中毒以后，我们的远控软件就会查看到你硬盘的重要数据，从而将之盗取。我们怎么防止这种情况出现呢？其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码，直接就能访问
详情2018-01-09 08:52:31责编：llp 来源：驱动管家
进程是什么？linux 查看进程怎么发现木马？
对于进程这个概念，许多电脑用户都没有给予太多关注。在很多人印象里，只知道结束进程可以杀死程序，至于哪些进程对应哪些程序，究竟什么样的进程该杀，什么样的进程不能杀这些问题很少考虑。这里通过几个实例为
详情2018-01-17 15:24:29责编：llp 来源：驱动管家
网购诈骗支付宝花呗套现陷阱多多
如今，大众的生活越来越离不开网购，网购自然而然成为了当下非常热门的消费方式。支付宝花呗是支付宝提供的第三方信用平台，根据你的消费购物信用给你透支额度，给很多不想办信用卡的人带来了很多方便，但是，最
详情2018-01-25 15:11:57责编：llp 来源：驱动管家
0day漏洞出现在aspcms企业建站系统上？0day漏洞怎么修复？
aspcms企业建站系统0day 2 0以上通杀2011-08-14 19:21aspcms开发的全新内核的开源企业建站系统，能够胜任企业多种建站需求，并且支持模版自定义、支持扩展插件等等，能够在短时间内完成企业建站。漏洞出现在 pl
详情2018-01-22 15:11:54责编：llp 来源：驱动管家
adsl是什么意思？怎么穿透adsl路由入侵内网？
也许看烂了网上已有的常规黑客攻击手段，对一些陈旧的入侵手法早已厌烦，近来我对ADSL MODEM的路由功能产生了浓厚的兴趣，经过一番努力，我终于找到了穿透ADSL路由入侵内网的方法，在这里和各位一起分享我的心得
详情2018-01-26 11:29:17责编：llp 来源：驱动管家
adobe flash player9.0.124版具有修复什么漏洞的功能？
受影响系统：Adobe Flash Player < 9 0 115 0 不受影响系统：Adobe Flash Player 9 0 124 0 描述：Flash Player是一款非常流行的FLASH播放器。 Flash Player 9 0 124 0版本修复了多个安全漏洞，成功
详情2018-01-16 11:02:45责编：llp 来源：驱动管家
搜索引擎怎么用？搜索引擎怎么搜索资料？
如何使用搜索引擎搜索资料，搜索引擎的使用方法1、打开搜索引擎1）打开网页浏览器，在地址栏输入百度搜索的网址 www baidu com 然后点右边的转到按钮，或者按一下回车键；2）进入百度搜索页面后，在中间输入要
详情2018-01-30 18:48:48责编：llp 来源：驱动管家

这些成双花指令自由组合可以达到免杀效果 过瑞星表面的查杀方法

这些成双花指令自由组合可以达到免杀效果过瑞星表面的查杀方法