花指令是程序中的無用代碼,程序多它沒影響,少了它也能正常運行。加花指令后,殺毒軟件對木馬靜態(tài)反匯編時,木馬的代碼就不會正常顯示出來,加大殺毒軟件的查殺難度。
花指令一般有三部分,開頭就是PUSH EBP和MOV EBP,ESP這兩句在大部分程序開頭可以經(jīng)?吹。PUSH EBP是把EBP壓入堆棧,MOV EBP,ESP是把ESP的值賦給EBP,不懂沒關(guān)系,只要知道PUSH EBP和MOV EBP,ESP這兩句經(jīng)常出現(xiàn)在文件開頭就可以了,隨便用OllyDbg打開一個不加殼的文件載入后經(jīng)常停在PUSH EBP MOV EBP,ESP。
如何寫入花指令
我們來看看加花指令的一般步驟:
1、準(zhǔn)備好要加的花指令;
2、準(zhǔn)備未加殼的黑客軟件;
3、用OllyDbg打開這個黑客軟件,記下入口點的內(nèi)存地址;
4、找到零地址,一句一句寫入花指令,再用JMP跳回程序入口點;(如果找不到空白地址,我們可以用zeroadd加區(qū)段,E文軟件,我漢化好的,操作簡單就不演示了。)
5、保存后用Peditor修改文件入口點為開始寫花指令的地址。這樣運行程序就先運行花指令再跳回程序的原始開頭執(zhí)行程序了;
6、檢測程序是否正常運行和免殺效果。
- PC官方版
- 安卓官方手機版
- IOS官方手機版