代碼
【深層】偽裝 PEtite 2.2 -> Ian Luck 彙編代碼:
============================
偽裝代碼部分:
============================
mov eax,0040E000
push 004153F3
push dword ptr fs:[0]
mov dword ptr fs:[0],esp
pushfw
pushad
push eax
xor ebx,ebx
pop eax
popad
popfw
pop dword ptr fs:[0]
pop eax
jmp XXXXXXXX '執行到程式的原有OEP
============================
【深層】偽裝 WCRT Library (Visual C++) DLL Method 1 -> Jibz 二進制代碼 + 彙編代碼:
============================
偽裝代碼部分:
============================
使用二進制貼上以下代碼:
55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59
貼上完畢後,再添加2行彙編語句:
jmp XXXXXXXX '執行到程式的原有OEP
retn 0C
1。偽裝 vc
VC++程式的入口代碼:
PUSH EBP
MOV EBP,ESP
PUSH -1
push 415448 -\___
PUSH 4021A8 -/ 在這段代碼中類似這樣的運算元可以亂填
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
ADD BYTE PTR DS:[EAX],AL /這條指令可以不要!
jmp 跳轉到程式原來的入口點
******************************************************************************************
2。跳轉
somewhere:
nop /"胡亂"跳轉的開始...
jmp 下一個jmp的地址 /在附近隨意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳轉到上面那段代碼地址去!
3. 偽裝 C
融合
把A的代碼換成B的
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 老入口
4. c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
5.Microsoft Visual C++ 6.0
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口
6.
在mov ebp,eax
後面加上
PUSH EAX
POP EAX
7:
防殺精靈一號防殺代碼:
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
pop eax
mov dword ptr fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 入口
8:
防殺精靈二號防殺代碼:
push ebp
mov ebp,esp
push -1
push 0
push 0
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
sub esp,68
push ebx
push esi
push edi
pop eax
pop eax
pop eax
add esp,68
pop eax
mov dword ptr fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 入口
9.
防殺精靈終極防殺代碼
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
jmp入口
10:
木馬彩衣(金色魚錦衣)花代碼
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,原入口
push eax
retn
11:
木馬彩衣(蝦米披風)花代碼
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loopd /跳轉到下面那段代碼地址去!
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
nop /"胡亂"跳轉的開始...
jmp 下一個jmp的地址 /在附近隨意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep
12.
VC++5.0代碼(木馬彩衣無限復活袍):
PUSH EBP
MOV EBP,ESP
PUSH -1
push 415448 -\___
PUSH 4021A8 -/ 在這段代碼中類似這樣的運算元可以亂填
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
ADD BYTE PTR DS:[EAX],AL /這條指令可以不要!
jo 00401000 /原入口
jno 00401000 /原入口
db 0e8h /花代碼
花指令生成器
一、寫花指令生成器必備知識
1、花指令原理
花指令是程式中的無用代碼,程式對它沒影響,少了它也能正常運行。加花指令後,防毒軟體對木馬靜態反彙編時,木馬的代碼就不會正常顯示出來,加大防毒軟體的查殺難度。
2、如何寫花指令
下面我們先看看一段花指令,分析理解它的原理:
PUSH EBP
MOV EBP,ESP
push edx
pop edx
inc ecx
dec ecx
add esp,21
add esp,-21
add esp,10
sub esp,10
JMP 附近空地址隨便亂跳
JMP 原入口點
花指令一般有三部分,開頭就是PUSH EBP和MOV EBP,ESP這兩句在大部分程式開頭可以經常看到。PUSH EBP是把EBP壓入堆疊,MOV EBP,ESP是把ESP的值賦給EBP,不懂沒關係,只要知道PUSH EBP和MOV EBP,ESP這兩句經常出現在檔案開頭就可以了,隨便用OllyDbg打開一個不加殼的檔案載入後經常停在PUSH EBP MOV EBP,ESP。
接下來就是花指令啦,push edx是把通用暫存器EDX壓入堆疊,pop edx是把通用暫存器EDX彈出堆疊,這兩句和起來就相當於什麼也沒做。接下來的inc ecx,ecx用來保存計數值,也是暫存器,INC是加1;下面的dec ecx中的dec是減1,加1減1相抵消,又是什麼也沒做。add esp,21這是暫存器esp加21,add是加上,下面一句add esp,-21是暫存器esp加-21,國小知識,+21+(-21)=0,還是什麼也沒做。再下來add esp,10暫存器esp加21,sub esp,10暫存器esp減10,sub是減去。一個+10,一個-10相互抵消了。
最後是跳轉語句,我用兩句JMP,第一句在花指令附近隨便跳到個空地址,第二個JMP是從空地址跳回檔案的原入口點。
3、如何寫入花指令
我們來看看加花指令的一般步驟:
1、準備好要加的花指令;
2、準備未加殼的黑客軟體;
3、用OllyDbg打開這個黑客軟體,記下入口點的記憶體地址;
4、找到零地址,一句一句寫入花指令,再用JMP跳回程式入口點;(如果找不到空白地址,我們可以用zeroadd加區段,英文軟體,我漢化好的,操作簡單就不演示了。)
5、保存後用Peditor修改檔案入口點為開始寫花指令的地址。這樣運行程式就先運行花指令再跳回程式的原始開頭執行程式了;
6、檢測程式是否正常運行和免殺效果。