论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2520阅读
  • 2回复

[手机资讯]汇编知识 [复制链接]

上一主题 下一主题
离线hljszh0467
 

发帖
70
今日发帖
最后登录
2016-01-26
只看楼主 倒序阅读 使用道具 楼主  发表于: 2010-10-15 15:01:14
木马高级免杀修改特征码需要熟练掌握的全部汇编知识 ^ eh /HnJs  
一.机械码,又称机器码.<br> w6zB Vi  
ultraedit打开,编辑exe文件时你会看到<br> ?[= U%sPu=  
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码<br> AK/:I>M  
就是机器码.<br> |4>:M\h  
修改程序时必须通过修改机器码来修改exe文件. b|?;h21rG  
二.需要熟练掌握的全部汇编知识(只有这么多)<br> dHII.=lT  
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了<br> 32>x^>G=>  
cmp a,b 比较a与b<br> y-+G wa3  
mov a,b 把b的值送给a<br> ?2`$3[ET-  
ret 返回主程序<br> 2*OxA%QELM  
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)***机器码的含义参看上面<br> g(m_yXIx  
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)<br> :5# V^\3*  
call 调用子程序<br> p:[LnL  
je 或jz 若相等则跳(机器码74 或0F84)<br> MCy~@)-IN  
jne或jnz 若不相等则跳(机器码75或0F85)<br> T33|';k  
jmp 无条件跳(机器码EB)<br> Gp|JU Fo  
jb 若小于则跳<br> (F&YdWe:  
ja 若大于则跳<br> uxDLDA$;  
jg 若大于则跳<br> {bkGYx5.C  
jge 若大于等于则跳<br> =vEkMJ Os  
jl 若小于则跳<br> =AkX4k  
jle 若小于等于则跳<br> p;->hn~D'5  
pop 出栈<br> J/kH%_ >Ir  
push 压栈 *cNk>y  
三.常见修改(机器码)<br> AQh["1{yJ  
74=>75 74=>90 74=>EB<br> pxplWP,  
75=>74 75=>90 75=>EB O),I[kb  
jnz->nop<br> !~J WYY  
75->90(相应的机器码修改) v5 Y)al@  
jnz -> jmp<br> |- OHve4A  
75 -> EB(相应的机器码修改) T`Hw49  
jnz -> jz<br> a4by^   
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改) t)(v4^T  
四.两种不同情况的不同修改方法<br> shK&2Noan  
1.修改为jmp<br> @ ;J|xkJ  
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息 d*9j77C]  
xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能...,"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等(我们希望把它跳过,不让它出现)<br> SLh~_ 5  
。。。<br> z7q%,yw3N  
。。。<br> 8IOj[&%0  
xxxxxxxxxxxx 正确路线所在 hht+bpHl  
2.修改为nop<br> Sip_~]hM  
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使程序顺利来到紧跟其后的正确信息处 \e0x ,2  
xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)<br> *a4 b  
。。。<br> llqDT-cp  
。。。<br> K#)bjxz  
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. <br>  >fwlg-  
1. 通用数据传送指令. <br> in?T]}  
MOV 传送字或字节. <br> i*A$SJ:}  
MOVSX 先符号扩展,再传送. <br> 05g?jV  
MOVZX 先零扩展,再传送. <br> d<?X3&J  
PUSH 把字压入堆栈. <br> ] - h|]  
POP 把字弹出堆栈. <br> v1K4$&{F  
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. <br> f>4+,@G   
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈. <br> U\;Ml  
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈. <br> gyg|Tno  
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈. <br> TP^\e_k  
BSWAP 交换32位寄存器里字节的顺序 <br> T-!|l7V~f  
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) <br> GiFf0c 9  
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX ) <br> ,gx$U@0Z  
XADD 先交换再累加.( 结果在第一个操作数里 ) <br> $"(3MnR  
XLAT 字节查表转换. <br> wEv*1y4  
—— BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即 <br> A1 b6Zt  
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL ) <br> p+5#dbyr  
2. 输入输出端口传送指令. <br> <WgG=Kf)N  
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} ) <br> ":z@c,  
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 ) <br> @US '{hO1p  
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时, <br> eKS:7:X  
其范围是 0-65535. <br> uvNnW}G4  
3. 目的地址传送指令. <br> C`z;,!58%  
LEA 装入有效地址. <br> xQZ MCd  
例: LEA DX,string ;把偏移地址存到DX. <br> [lrmuf  
LDS 传送目标指针,把指针内容装入DS. <br> b^;N>zx  
例: LDS SI,string ;把段地址:偏移地址存到DS:SI. <br> B0NN>)h  
LES 传送目标指针,把指针内容装入ES. <br> bmSpbX\  
例: LES DI,string ;把段地址:偏移地址存到ESI. <br> dcM+ylB  
LFS 传送目标指针,把指针内容装入FS. <br> Sk!v,gx  
例: LFS DI,string ;把段地址:偏移地址存到FSI. <br> b^@`uDb6  
LGS 传送目标指针,把指针内容装入GS. <br> 6Lav.x\W  
例: LGS DI,string ;把段地址:偏移地址存到GSI. <br> 0  %C!`7  
LSS 传送目标指针,把指针内容装入SS. <br> R20a(4 m  
例: LSS DI,string ;把段地址:偏移地址存到SSI. <br> 8rnb  
4. 标志传送指令. <br> a  [0N,t  
LAHF 标志寄存器传送,把标志装入AH. <br> DKf}47y  
SAHF 标志寄存器传送,把AH内容装入标志寄存器. <br> Y+}OClS  
PUSHF 标志入栈. <br> ]i9H_K  
POPF 标志出栈. <br> tOu90gu  
PUSHD 32位标志入栈. <br> ZY~zpC_  
POPD 32位标志出栈. F%Ro98?{  
二、算术运算指令 <br> qYQUr8{  
————————————————————————————— <br> U1OLI]P  
ADD 加法. <br> \5j22L9S  
ADC 带进位加法. <br> =<Zwv\U  
INC 加 1. <br> 6C@0[Q\ER  
AAA 加法的ASCII码调整. <br> 6kgCS{MZ  
DAA 加法的十进制调整. <br> mkKRC;  
SUB 减法. <br> 9F-ViDI.  
SBB 带借位减法. <br> 9}? 5p]%  
DEC 减 1. <br> \H"/2o%l")  
NEC 求反(以 0 减之). <br> i2`.#YJ&v  
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果). <br> 2_B;  
AAS 减法的ASCII码调整. <br> z|oA{VxW>  
DAS 减法的十进制调整. <br> GN}9$:  
MUL 无符号乘法. <br> <S:,`v&Z  
IMUL 整数乘法. <br> t*ri`}a{v  
以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算), <br> %-0em!tUV  
AAM 乘法的ASCII码调整. <br> f@,hO5h(_|  
DIV 无符号除法. <br> 2- |j  
IDIV 整数除法. <br> q/aL8V<"z  
以上两条,结果回送: <br> KU 8Cl>5  
商回送AL,余数回送AH, (字节运算); <br> ^5^ zo~^o  
或 商回送AX,余数回送DX, (字运算). <br> $! fz~  
AAD 除法的ASCII码调整. <br> #lLn='4  
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去) <br> SWe!9Y$  
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去) <br> ^OGH5@"  
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去) <br> T`(;;%  
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去) L?/M2zc9Y  
三、逻辑运算指令 <br> PN)TX~}  
————————————————————————————<br> U:T5o]P<  
AND 与运算. <br> b(.o|d/P  
OR 或运算. <br> J OL Z2  
XOR 异或运算. <br> hP6fTZ=Ln  
NOT 取反. <br> qH}62DP3  
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果). <br> d/-0B<ts  
SHL 逻辑左移. <br> da7x 1n$D  
SAL 算术左移.(=SHL) <br> R4K eUn"  
SHR 逻辑右移. <br> ES2d9/]p-  
SAR 算术右移.(=SHR) <br> njx\$,ruN  
ROL 循环左移. <br> LTlC}3c28f  
ROR 循环右移. <br> .k?hb]2N  
RCL 通过进位的循环左移. <br> d$G%F$BTs  
RCR 通过进位的循环右移. <br> J{'zkR?Lr  
以上八种移位指令,其移位次数可达255次. <br> D%";!7u  
移位一次时, 可直接用操作码. 如 SHL AX,1. <br> !WVabdt  
移位>1次时, 则由寄存器CL给出移位次数. <br> `HZHVV$~  
如 MOV CL,04 <br> 28ov+s~1+-  
SHL AX,CL | 2c!t$O@v  
四、串指令 <br> e"&9G}.f  
————————————————————————————— <br> 4s+J-l  
DS:SI 源串段寄存器 :源串变址. <br> f<t*#]<  
ESI 目标串段寄存器:目标串变址. <br> ]nr BmKB  
CX 重复次数计数器. <br> }od7YL  
AL/AX 扫描值. <br> r^ Rcjyc1  
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量. <br> :."n@sA@  
Z标志 用来控制扫描或比较操作的结束. <br> 2K7:gd8Ru  
MOVS 串传送. <br> }A&Xxh!Fwo  
( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. ) <br> 9p0HFri[  
CMPS 串比较. <br> ;@;ie8H  
( CMPSB 比较字符. CMPSW 比较字. ) <br> = ,E(!Sp  
SCAS 串扫描. <br> $hY]EB  
把AL或AX的内容与目标串作比较,比较结果反映在标志位. <br> W*WH .1&  
LODS 装入串. <br> t2%bHIG}  
把源串中的元素(字或字节)逐一装入AL或AX中. <br> whp\*]8  
( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. ) <br> 22(]x}`  
STOS 保存串. <br> 1:l&&/Wy  
是LODS的逆过程. <br> QBT-J`Pz  
REP 当CX/ECX<>0时重复. <br> 'rx,f  
REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX<>0时重复. <br> =.2cZwxX$  
REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX<>0时重复. <br> 6'lT`E|  
REPC 当CF=1且CX/ECX<>0时重复. <br> LRlk9:QD>  
REPNC 当CF=0且CX/ECX<>0时重复. oDiv9 jm  
五、程序转移指令 <br> zyQEz#O   
————————————————————————————— <br> Env}gCX  
1>无条件转移指令 (长转移) <br>  C(Gb  
JMP 无条件转移指令 <br> BE@H~<E J  
CALL 过程调用 <br> 0JWD] "  
RET/RETF过程返回. <br> (Y@|h%1W  
2>条件转移指令 (短转移,-128到+127的距离内) <br> ykl=KR  
( 当且仅当(SF XOR OF)=1时,OP1<OP2 ) <br> K{|dt W&  
JA/JNBE 不小于或不等于时转移. <br> f$*9J  
JAE/JNB 大于或等于转移. <br> U=1`. Ove  
JB/JNAE 小于转移. <br> G Z[5m[  
JBE/JNA 小于或等于转移. <br> v7I*W/  
以上四条,测试无符号整数运算的结果(标志C和Z). <br> H {Wpf9_ K  
JG/JNLE 大于转移. <br>  G6ES]  
JGE/JNL 大于或等于转移. <br> +P;D}1B#I?  
JL/JNGE 小于转移. <br> lcJumV=%>  
JLE/JNG 小于或等于转移. <br> 0'2{[xF  
以上四条,测试带符号整数运算的结果(标志S,O和Z). <br> 'cc4Y~0s  
JE/JZ 等于转移. <br> r*xw\  
JNE/JNZ 不等于时转移. <br> |(8h:g  
JC 有进位时转移. <br> ~(E8~)f)  
JNC 无进位时转移. <br> 6_ 0w>  
JNO 不溢出时转移. <br> OmuZ 0@ .  
JNP/JPO 奇偶性为奇数时转移. <br> 7I3CPc$  
JNS 符号位为 "0" 时转移. <br> Nm.>C4  
JO 溢出转移. <br> ~ab_+%  
JP/JPE 奇偶性为偶数时转移. <br> )Ea_:C'  
JS 符号位为 "1" 时转移. <br> KPcuGJ  
3>循环控制指令(短转移) <br> 6df&B .gg  
LOOP CX不为零时循环. <br> 7VBw@Rh  
LOOPE/LOOPZ CX不为零且标志Z=1时循环. <br> *N+aZV}`Z  
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环. <br> !`U<RlK7  
JCXZ CX为零时转移. <br> \<>%_y'/)h  
JECXZ ECX为零时转移. <br> />7/S^  
4>中断指令 <br> p&M'DMj+  
INT 中断指令 <br> /pN2Jst  
INTO 溢出中断 <br> LX&P]{q KS  
IRET 中断返回 <br> EqluxD=  
5>处理器控制指令 <br> / kGX 6hh  
HLT 处理器暂停, 直到出现中断或复位信号才继续. <br> ><7`$2Or  
WAIT 当芯片引线TEST为高电平时使CPU进入等待状态. <br> 8H b|'Q|^  
ESC 转换到外处理器. <br> &4FdA|9T  
LOCK 封锁总线. <br> 3]'z8i({7Y  
NOP 空操作. <br> JOq<lb=  
STC 置进位标志位. <br> <}1%">RA  
CLC 清进位标志位. <br> >u2#<k]1&  
CMC 进位标志取反. <br> _x{x#d;L3  
STD 置方向标志位. <br> nd1*e  
CLD 清方向标志位. <br> 0-HE, lv  
STI 置中断允许位. <br> Al]9/ML/m  
CLI 清中断允许位. uK5Px!  
六、伪指令 <br> \LXC269  
—————————————————————————<br> 4et#Q  
DW 定义字(2字节). <br> Y'h'8 \  
PROC 定义过程. <br> (Mh\!rMg  
ENDP 过程结束. <br>                            经典万能密码'or'='or'入侵演示 &3J#"9 _S  
SEGMENT 定义段. <br> bb/MnhB  
ASSUME 建立段寄存器寻址. <br> dY.uOafr  
ENDS 段结束. <br> PEl]HI_H  
END 程序结束.  <k5~z(  
输入表免杀的4种方法 BI]t}7  
现在很多杀毒软件把木马的特征码定位在程序的输入表,代表:NOD32,瑞星。以黑仿鸽子为例瑞星有两处内存特征码定位在输入表上,那么我们应该怎样修改呢?修改输入表是今年才被广泛应用的新技术,我知道的修改输入表的方法有4种。 d`/{0:F  
1,移位法。 N-]n>E  
用到的工具是C32,和LORDPE。 这个很简单,就是移动特征码的位置,但是从今年下半年起,这种方法对瑞星已经失效了。 e X@q'Zi  
2:调换法 MzG.Qh'z  
注意:长度大小必须要一样。 <|iU+.j\  
这种方法对NOD32 和小红伞这两款世界出名杀毒软件的效果还不错。。利用C32上下调换输入表的位置,大家不要仅仅局限在 紧接着的上下两行调换。。。打个比方有4行代码, 你不仅仅可以2,3行互换,你同样可以1,4行互换,只要这些代码是输入表,并且长度一样就没什么问题。 !Ua#smZ  
3,指针修改法 Vba}RF[b  
其实就是移位法的变通,不同的是移位法是在用LORDPE改,而指针修改法是用OD把程序载入内存,找到特征码的文件偏移,然后再用C32修改。。 quYZD6IH  
4,重建输入表 4+gA/<  
用到的工具有OD C32 Import Fix LordPE o*xEaD  
1.首先我们OD载入鸽子的服务端,目的使服务端载入计算机内存,然后打开ImportREC 1.6,找到鸽子服务端的程序,选中它。打开PEID载入服务端,我们找到子系统打开后面的大于号 。找到输入表信息: _K>m9Q2  
000A8000 000033A2,把这2个地址分别输入到ImportREC 1.6的RAV和大小里面,然后点击获得输入表按健,获得输入表后我们继续点击显示无效的,在找到的输入函数栏里我们任意选种一个点击右健选择[删除指针],继续我们选择[修理DUMP]出现一个提示框选择我们鸽子的服务端,系统自动生成一个新的输入表服务端,但是这个服务端包括2个输入表,我们把原来的输入表删除了,使用我们新建的输入表。我们继续用OD载入鸽子新生成的服务端,点击OD里的M健(内存影射),我们可以看到地址004C2000为我们新建的输入表,.IDATA 段地址004A8000是以前输入表的地址,我们找到它,去头去尾00填充掉,目的是把特征码定位在此处的信息删除掉(去除老的输入表)然后保存。此方法对于特征码定位在输入表的免杀效果不错,大家可以尝试一下。 $@j7VPE  
注意:在填充原输入表时,填0的原则是能把特征码填掉就好,鸽子的IDATA段还有别的信息.不要从头一下拉到尾整个就给填0了,这样运行会出错,我们选中间的大部分数据填0,就保证程序既能正常运行,而且特征码被填掉,大家多试一两次就可以了。 Z}wAh|N-  
只要是特征码定位在输入表上,重建输入表这种方法基本都可以躲过,但其实个人并不提倡重建输入表,因为重建输入表后,对程序以后的加密有一定影响。。这真的是很矛盾,一方面它免杀效果好,另一方面却并不是自己想看到的,真是鱼与熊掌不可兼得。。 wSMgBRV#^  
离线zwl103

发帖
2455
今日发帖
最后登录
2018-09-29
只看该作者 沙发  发表于: 2010-10-15 15:55:03
还以为是整理成 的文档那
离线ro70801320
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2010-10-15 21:15:20
了解..还真是多.