首页 > 单独文章 > 正文

活学活用木马免杀之花指令篇

时间:2008-03-28 11:59:06 作者:officeba 【认证】

提到免杀,就不得不说“ 花指令” ,它也是常用的免杀方法之一,免杀效果很好,。由于操作较复杂,很多菜鸟对它都敬而远之。其实简单的加花指令免杀并不难,下面我们就来学习如何快速用花指令免杀。

一、什么是花指令
所谓花指令,我们可以把它理解为一些程序中的无用代码或垃圾代码,有了这些代码程序照样运行,没有这些代码也不影响程序运行。花指令就是几句汇编指令,让汇编语言进行一些跳转,就像我们平时拐弯抹角说的一些话。说通俗点就是说杀毒软件是从头到脚按顺序来查找病毒,如果我们把病毒的头和脚颠倒位置,那么杀毒软件就找不到病毒了。这样杀毒软件就不能正常判断病毒木马文件的构造,加大了杀毒软件查杀木马病毒的难度。

二、用垃圾代码弄“ 晕” 杀软
虽然大家都知道添加花指令是非常不错的免杀方法,但是有一个非常实际的问题就是如何编写花指令。虽然对于那些有汇编基础的用户来说,编写花指令并不是什么难事,但是对于菜鸟来说还是很麻烦、很困难的,因此只能从网上寻找别人公布出来的花指令代码或花指令添加器。可是这些公布出来的相关消息虽然可以直接使用,同时很快也会被杀毒软件添加到病毒库中,所以即便是短时间里能够起到免杀的效果,也会很快被查杀。
那么菜鸟应该怎么办呢?其实只需要对花指令进行一些变形,就可以轻松躲过杀毒软件的检测。通过已经公布的花指令添加器,将花指令代码添加到程序内部,再通过程序OllyDBG 对添加的花指令进行修改。


三、揭秘花指令免杀步骤
首先运行加花工具《 花蝴蝶》 ,首先点击“ 浏览” 按钮选择需要免杀的程序。接着在“ 选择花衣服” 列表中任意选择一个花指令,这里我就选择第一个“ 蝴蝶三号” ,然后点击“ 穿衣” 按钮即可成功加花(图1 )。


图1
下面使用程序OllyDBG 载入服务端程序,结果程序自动就停留在添加的这段花指令面前。现在我们就开始动手对这段花指令进行修改了。

1. 替换法
替换法就是将花指令原有的一句或多句汇编代码,用其他功能相同的汇编代码进行替换。需要注意的是,替换和被替换的指令功能一定要相同,否则就会导致程序运行出错。
这里我们就将入口点的汇编代码“ mov eax, 004C6001 ” 和jmp eax 进行如下替换,选择这两句汇编代码后点击右键菜单中的“ 汇编” 命令,依次在“ 汇编” 窗口用“ push 004C6001 ” 和retn 替换以前的代码即可(图2 )。


图2
程序修改完成后需要进行文件的保存。选择右键菜单中的“ 复制到可执行文件” ,接着在它的子菜单中选择“ 选择” 命令,然后程序会弹出一个新窗口,同样在新窗口中点击鼠标右键,选择其中的“ 保存文件” 命令后在弹出的窗口就可以将我们修改的程序进行保存了(图3 )。


图3

相关文章

同类最新