木马高级免杀修改特征码需要熟练掌握的全部汇编知识 *#Iqz9X.Y3
一.机械码,又称机器码.<br> �Wdp4'rB�
ultraedit打开,编辑exe文件时你会看到<br> i%ot�vD�n1
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码<br> `��7Dj}vVu
就是机器码.<br> �xeSv+�I-b
修改程序时必须通过修改机器码来修改exe文件. ?j$*a�7[w
二.需要熟练掌握的全部汇编知识(只有这么多)<br> `$>cQwB,D�
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了<br> e:(~=�9}Li
cmp a,b 比较a与b<br> ^ �=�R�SoR
mov a,b 把b的值送给a<br> �l?zWi�[Zf
ret 返回主程序<br> 0zqT�X<� A
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)***机器码的含义参看上面<br> eo'C�)j# U
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)<br> 5h>�t�4 [~
call 调用子程序<br> �J!*�Pg<
je 或jz 若相等则跳(机器码74 或0F84)<br> \:-N<�[ �
jne或jnz 若不相等则跳(机器码75或0F85)<br> Uj�ss?::`G
jmp 无条件跳(机器码EB)<br> ZUUf�n~ORc
jb 若小于则跳<br> OvW/���{�
ja 若大于则跳<br>
91bJ�7�%�
jg 若大于则跳<br> -~�ycr[}x
jge 若大于等于则跳<br> YK|Y�^TU^�
jl 若小于则跳<br> �O"�x/O#66
jle 若小于等于则跳<br> -Fs^^={Q��
pop 出栈<br> P���1�m�PC
push 压栈 Kq`"}�&0b\
三.常见修改(机器码)<br> 1eDc:!^�SD
74=>75 74=>90 74=>EB<br> �^#L?�HIM
75=>74 75=>90 75=>EB SAGLLk�07G
jnz->nop<br> �kV�Z5�>D$
75->90(相应的机器码修改) we�iqt
*,8
jnz -> jmp<br> <ST�#<
$%
75 -> EB(相应的机器码修改) i�>[��1^~;
jnz -> jz<br> �&�xqr&�(o
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改) 2;`"B|-T��
四.两种不同情况的不同修改方法<br> HH|&$C|64�
1.修改为jmp<br> w�Q,��RZO3
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息 A2�"xCJ0�`
xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能...,"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等(我们希望把它跳过,不让它出现)<br> ��G�?]E6R�
。。。<br> T�UEEwDK�-
。。。<br> R6Cm:4m�}I
xxxxxxxxxxxx 正确路线所在 VmkYl�$WZo
2.修改为nop<br> m�or��I'6N
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使程序顺利来到紧跟其后的正确信息处 Y(SgfWeK@1
xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)<br> �r<O^uz?Di
。。。<br> ��B<[�;r�k
。。。<br> KX)x�CR�~
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. <br> %MP�� �s}B
1. 通用数据传送指令. <br> B:z��-?u#B
MOV 传送字或字节. <br> %T�G$5'�)0
MOVSX 先符号扩展,再传送. <br> G��-3.-���
MOVZX 先零扩展,再传送. <br> vEzzd�Dwi6
PUSH 把字压入堆栈. <br> �y�K?~X�V:
POP 把字弹出堆栈. <br> bOck^1Hk�y
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. <br> BQS9q�'u_�
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈. <br> "}S�ER�C7
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈. <br> DJQ�]�N�Y|
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈. <br> )1fQhdO�}x
BSWAP 交换32位寄存器里字节的顺序 <br> �_f3A6E�R`
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) <br> NNl/'ge�<\
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX ) <br> D�8�?$Fn=
XADD 先交换再累加.( 结果在第一个操作数里 ) <br> �h�{* O9O<
XLAT 字节查表转换. <br> 3K�?0P�R�g
—— BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即 <br> �q6Q�=Zo@�
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL ) <br> ,\�IqKRcYU
2. 输入输出端口传送指令. <br> 0[1��!K&(L
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} ) <br>
l#~Fe���D
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 ) <br> �!GIs�mqVY
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时, <br> i��`>X5Da5
其范围是 0-65535. <br> 4�]B3C\�
v
3. 目的地址传送指令. <br> `5 �6�QX'?
LEA 装入有效地址. <br> R{�[Q+y�'E
例: LEA DX,string ;把偏移地址存到DX. <br> GBpha�b�|�
LDS 传送目标指针,把指针内容装入DS. <br> bY2M�w8e%
例: LDS SI,string ;把段地址:偏移地址存到DS:SI. <br> $1��?X%8V�
LES 传送目标指针,把指针内容装入ES. <br> *(`�.��h\+
例: LES DI,string ;把段地址:偏移地址存到ESI. <br> �{6n \532@
LFS 传送目标指针,把指针内容装入FS. <br> .�]e6TFsrO
例: LFS DI,string ;把段地址:偏移地址存到FSI. <br> J:�lw�q@u
LGS 传送目标指针,把指针内容装入GS. <br> /K!�,^Xn��
例: LGS DI,string ;把段地址:偏移地址存到GSI. <br> h(�8;7}��K
LSS 传送目标指针,把指针内容装入SS. <br> +lT]s�#Fif
例: LSS DI,string ;把段地址:偏移地址存到SSI. <br> %�^l��&fM*
4. 标志传送指令. <br> �\!QF9dP4�
LAHF 标志寄存器传送,把标志装入AH. <br> � >Y'yM4e*
SAHF 标志寄存器传送,把AH内容装入标志寄存器. <br>
fE*I�+pe
PUSHF 标志入栈. <br> b(q&��}�60
POPF 标志出栈. <br> j_yFH�#^W:
PUSHD 32位标志入栈. <br> pt�v�4v[gQ
POPD 32位标志出栈. �^R7z�LHU;
二、算术运算指令 <br> (bt]GAxb1
————————————————————————————— <br> S.)�7u6/_!
ADD 加法. <br> uHro%U�A�d
ADC 带进位加法. <br> ��ba9<(0`�
INC 加 1. <br> '%!M>�r�Y,
AAA 加法的ASCII码调整. <br> $ Xs�Q ��e
DAA 加法的十进制调整. <br> �,ok�J eZ�
SUB 减法. <br> f5b`gvCY,#
SBB 带借位减法. <br> :/[Y�Y?pg-
DEC 减 1. <br>
01c/;B���
NEC 求反(以 0 减之). <br> �M}oj!�xGB
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果). <br> _d0-%B
9�m
AAS 减法的ASCII码调整. <br> ,�c�7��u��
DAS 减法的十进制调整. <br> @
U8}sH�^�
MUL 无符号乘法. <br> 0HJqsSZ$mW
IMUL 整数乘法. <br> )��|h�;J4V
以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算), <br> h�,'mN\6�t
AAM 乘法的ASCII码调整. <br>
=Sb�:<q+Q
DIV 无符号除法. <br> X\^&� nL�a
IDIV 整数除法. <br> n|mJE,�N
以上两条,结果回送: <br> (LT\
I�JSM
商回送AL,余数回送AH, (字节运算); <br> QVG0>,+}$
或 商回送AX,余数回送DX, (字运算). <br> f0mH|�tI�`
AAD 除法的ASCII码调整. <br> SCh7�O}���
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去) <br> 2�7*�(��oT
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去) <br> S1�az3VJI\
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去) <br> <(bCz>o|��
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去) SZK���)q��
三、逻辑运算指令 <br> p-i.I��TRS
————————————————————————————<br> �hP�4)8��>
AND 与运算. <br> nqurY6�2Ip
OR 或运算. <br> hs{&G�^!jo
XOR 异或运算. <br> ��� 9�+'@
NOT 取反. <br> 1Es*=�zg�
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果). <br> `'�[7~�Ew[
SHL 逻辑左移. <br> �wr3_Bf3]�
SAL 算术左移.(=SHL) <br> p�B�g|�n=^
SHR 逻辑右移. <br> �P0�'e"\$
SAR 算术右移.(=SHR) <br> [l8V<*x%S9
ROL 循环左移. <br> �Y�M����#�
ROR 循环右移. <br> 5"-�una>�D
RCL 通过进位的循环左移. <br> wMH�[QYb<*
RCR 通过进位的循环右移. <br> dN$ �1$B^k
以上八种移位指令,其移位次数可达255次. <br> ZQ,�f�m`y\
移位一次时, 可直接用操作码. 如 SHL AX,1. <br> lv<�iJ�H\
移位>1次时, 则由寄存器CL给出移位次数. <br> T[5����gom
如 MOV CL,04 <br> -�M7���K�8
SHL AX,CL q[{���:���
四、串指令 <br> �uL2"�StW
————————————————————————————— <br> nc3st��y1`
DS:SI 源串段寄存器 :源串变址. <br> $x?NNS_ "J
ESI 目标串段寄存器:目标串变址. <br> L8��K0^~Mk
CX 重复次数计数器. <br> bjPka�{PBj
AL/AX 扫描值. <br> 8�|1`�Tn}o
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量. <br> M
�(+.$uz
Z标志 用来控制扫描或比较操作的结束. <br> k/�df(�cs
MOVS 串传送. <br> �6ex�RS]BI
( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. ) <br> H��H"$#T^-
CMPS 串比较. <br> .�/#e1m?.�
( CMPSB 比较字符. CMPSW 比较字. ) <br> ��
�K�R&s?
SCAS 串扫描. <br> CX�Tt�(-FT
把AL或AX的内容与目标串作比较,比较结果反映在标志位. <br> � OQ6�sv/�
LODS 装入串. <br> U);O���R��
把源串中的元素(字或字节)逐一装入AL或AX中. <br> �W�Elr�k:b
( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. ) <br> wDDx�j���
STOS 保存串. <br> DMB"�Y��,�
是LODS的逆过程. <br> O:1�DOUYXs
REP 当CX/ECX<>0时重复. <br> DR6]-j!FK�
REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX<>0时重复. <br> |=\91fP68`
REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX<>0时重复. <br> hm3jpWi��8
REPC 当CF=1且CX/ECX<>0时重复. <br> u�y�Fn}y62
REPNC 当CF=0且CX/ECX<>0时重复. �_F��izg�s
五、程序转移指令 <br> f/ajejYo?,
————————————————————————————— <br> Y;,Hzmbs6w
1>无条件转移指令 (长转移) <br> ]Nt�Su%�u�
JMP 无条件转移指令 <br> L~dC(J)@ZI
CALL 过程调用 <br> �NhA#bn9y?
RET/RETF过程返回. <br> RZO�5=L�9E
2>条件转移指令 (短转移,-128到+127的距离内) <br> �=�Y9\DeIZ
( 当且仅当(SF XOR OF)=1时,OP1<OP2 ) <br> jJ~Y]dQ�i
JA/JNBE 不小于或不等于时转移. <br> :�
,p||_G&
JAE/JNB 大于或等于转移. <br> �JR�O�$��<
JB/JNAE 小于转移. <br> 1zja�R4T�f
JBE/JNA 小于或等于转移. <br> �-(>qu.[8=
以上四条,测试无符号整数运算的结果(标志C和Z). <br> ?�z/Vgk+9|
JG/JNLE 大于转移. <br> e�7xj_�QH�
JGE/JNL 大于或等于转移. <br> %M&�3�VQ9w
JL/JNGE 小于转移. <br> D����|_V<'
JLE/JNG 小于或等于转移. <br> K=6UK%y
�A
以上四条,测试带符号整数运算的结果(标志S,O和Z). <br> s��G,��+�
JE/JZ 等于转移. <br> )ofm_R'q�*
JNE/JNZ 不等于时转移. <br> \M(*���=5�
JC 有进位时转移. <br> �Ht[{ryTxu
JNC 无进位时转移. <br> w#(RW7":F
JNO 不溢出时转移. <br> 5H�lW�fD��
JNP/JPO 奇偶性为奇数时转移. <br> ?�znS��x}t
JNS 符号位为 "0" 时转移. <br> lIf(6nm@��
JO 溢出转移. <br> �zgKY4R�{V
JP/JPE 奇偶性为偶数时转移. <br> �"X��n%at4
JS 符号位为 "1" 时转移. <br> S��wH2$:�f
3>循环控制指令(短转移) <br> ^#��e�~g�/
LOOP CX不为零时循环. <br> :reTJQwr�
LOOPE/LOOPZ CX不为零且标志Z=1时循环. <br> Owf.f;�Q�R
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环. <br> XU-m�"_�t�
JCXZ CX为零时转移. <br> ^J��x$�t/t
JECXZ ECX为零时转移. <br> uDuF�#3
+"
4>中断指令 <br> [�-w@.^:]X
INT 中断指令 <br> @Doyt�{|T�
INTO 溢出中断 <br> q'S
=�Eav8
IRET 中断返回 <br> P ��$�>��`
5>处理器控制指令 <br> )�\��0�F7Z
HLT 处理器暂停, 直到出现中断或复位信号才继续. <br> >n��n�Y:7m
WAIT 当芯片引线TEST为高电平时使CPU进入等待状态. <br> t�\R; < x
ESC 转换到外处理器. <br> '�$m�7ft}
LOCK 封锁总线. <br> &M"ouy Zo9
NOP 空操作. <br> g�-)m�av�
STC 置进位标志位. <br> �E{Vo�'!LY
CLC 清进位标志位. <br> %m�I~
=^za
CMC 进位标志取反. <br> rT7^-B��*�
STD 置方向标志位. <br> TI9�X�.E?�
CLD 清方向标志位. <br> e��a��ZQ2�
STI 置中断允许位. <br> dc�q#�TBo8
CLI 清中断允许位. D�pqt;8"2L
六、伪指令 <br> ?��y7w}�W
—————————————————————————<br> a/:XXy� �|
DW 定义字(2字节). <br> >|u�dWd^$3
PROC 定义过程. <br> d#_m��.�j�
ENDP 过程结束. <br> 经典万能密码'or'='or'入侵演示 _PXdze�I.�
SEGMENT 定义段. <br> l�?E|R�Kp�
ASSUME 建立段寄存器寻址. <br> #$�1��$T��
ENDS 段结束. <br> =!.m�GW-Q}
END 程序结束. n9�UKcN��-
输入表免杀的4种方法 Z��[L5� ;
现在很多杀毒软件把木马的特征码定位在程序的输入表,代表:NOD32,瑞星。以黑仿鸽子为例瑞星有两处内存特征码定位在输入表上,那么我们应该怎样修改呢?修改输入表是今年才被广泛应用的新技术,我知道的修改输入表的方法有4种。 F:T GsV�#
1,移位法。 �n�^9 � ?~
用到的工具是C32,和LORDPE。 这个很简单,就是移动特征码的位置,但是从今年下半年起,这种方法对瑞星已经失效了。 �I$�jvXl=$
2:调换法 %'ZN`Xft�G
注意:长度大小必须要一样。 Q:o�7G|�C�
这种方法对NOD32 和小红伞这两款世界出名杀毒软件的效果还不错。。利用C32上下调换输入表的位置,大家不要仅仅局限在 紧接着的上下两行调换。。。打个比方有4行代码, 你不仅仅可以2,3行互换,你同样可以1,4行互换,只要这些代码是输入表,并且长度一样就没什么问题。 ���L\�� j:
3,指针修改法 Fb���_S&!
其实就是移位法的变通,不同的是移位法是在用LORDPE改,而指针修改法是用OD把程序载入内存,找到特征码的文件偏移,然后再用C32修改。。 "4�� k�-dj
4,重建输入表 ;e{�5)�@h$
用到的工具有OD C32 Import Fix LordPE ")�`S0n5�e
1.首先我们OD载入鸽子的服务端,目的使服务端载入计算机内存,然后打开ImportREC 1.6,找到鸽子服务端的程序,选中它。打开PEID载入服务端,我们找到子系统打开后面的大于号 。找到输入表信息: =�>LZ�m+P
000A8000 000033A2,把这2个地址分别输入到ImportREC 1.6的RAV和大小里面,然后点击获得输入表按健,获得输入表后我们继续点击显示无效的,在找到的输入函数栏里我们任意选种一个点击右健选择[删除指针],继续我们选择[修理DUMP]出现一个提示框选择我们鸽子的服务端,系统自动生成一个新的输入表服务端,但是这个服务端包括2个输入表,我们把原来的输入表删除了,使用我们新建的输入表。我们继续用OD载入鸽子新生成的服务端,点击OD里的M健(内存影射),我们可以看到地址004C2000为我们新建的输入表,.IDATA 段地址004A8000是以前输入表的地址,我们找到它,去头去尾00填充掉,目的是把特征码定位在此处的信息删除掉(去除老的输入表)然后保存。此方法对于特征码定位在输入表的免杀效果不错,大家可以尝试一下。 �Y1\K;�;X
注意:在填充原输入表时,填0的原则是能把特征码填掉就好,鸽子的IDATA段还有别的信息.不要从头一下拉到尾整个就给填0了,这样运行会出错,我们选中间的大部分数据填0,就保证程序既能正常运行,而且特征码被填掉,大家多试一两次就可以了。 l5��J.A�@0
只要是特征码定位在输入表上,重建输入表这种方法基本都可以躲过,但其实个人并不提倡重建输入表,因为重建输入表后,对程序以后的加密有一定影响。。这真的是很矛盾,一方面它免杀效果好,另一方面却并不是自己想看到的,真是鱼与熊掌不可兼得。。 Mg? �L�-C�
微博帐号登录