木马高级免杀修改特征码需要熟练掌握的全部汇编知识 P4@`C�{F5m
一.机械码,又称机器码.<br> <8}FsRr;J�
ultraedit打开,编辑exe文件时你会看到<br> joI�)��6c�
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码<br> bL
xZ�5C7t
就是机器码.<br> <<!�fA�><W
修改程序时必须通过修改机器码来修改exe文件. "�AUSgVE+h
二.需要熟练掌握的全部汇编知识(只有这么多)<br> :�&wb+t�V�
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了<br> 0�Ag��s�e)
cmp a,b 比较a与b<br> wP�M&N�@Pf
mov a,b 把b的值送给a<br> �Hk*1Wrs�*
ret 返回主程序<br> ���@$jV"Y
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)***机器码的含义参看上面<br> (=^KP�7���
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)<br> $A�?9U}V#^
call 调用子程序<br> Mw0>p5+ cy
je 或jz 若相等则跳(机器码74 或0F84)<br> �-� �
]wT�
jne或jnz 若不相等则跳(机器码75或0F85)<br> I4"p��]>Y"
jmp 无条件跳(机器码EB)<br> 3A`��Gx��#
jb 若小于则跳<br> EQ273sdK�
ja 若大于则跳<br> ol"|?��*3q
jg 若大于则跳<br> �FL{?�W�(M
jge 若大于等于则跳<br> aB6�xR�n�9
jl 若小于则跳<br> >>J3�"XHX
jle 若小于等于则跳<br> dL�p1l2h!0
pop 出栈<br> h�iS|&�5#
push 压栈 >�S�I'Q�7k
三.常见修改(机器码)<br> wS}c�\!@<,
74=>75 74=>90 74=>EB<br> �X6cn8ak�3
75=>74 75=>90 75=>EB 8����vVE��
jnz->nop<br> 1��@v����<
75->90(相应的机器码修改) 5�e�+�j�51
jnz -> jmp<br> ��KdCr�I@^
75 -> EB(相应的机器码修改) w||t�3!M+n
jnz -> jz<br> #tR��:W?!�
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改) (C.
���$w�
四.两种不同情况的不同修改方法<br> zgG�ysj�V�
1.修改为jmp<br> �
Lw\u{E�@
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息 ;JkIZ�8!��
xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能...,"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in Shareware/Demo"等(我们希望把它跳过,不让它出现)<br> A1p~�K�*[[
。。。<br> \>5sW8P]H`
。。。<br> 'mZ���v5?
xxxxxxxxxxxx 正确路线所在 ��]ltCJq��
2.修改为nop<br> iTin�Z!Ut�
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使程序顺利来到紧跟其后的正确信息处 J�920A^)j!
xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)<br> �%d�+Fq�=<
。。。<br> ��9CS"��s_
。。。<br> �d�`=
�~8`
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. <br> ~S(�'\h)1�
1. 通用数据传送指令. <br> �)"\=
�_E#
MOV 传送字或字节. <br> !�ldE�y#"X
MOVSX 先符号扩展,再传送. <br> sN1H��{W�
MOVZX 先零扩展,再传送. <br> Gs~�eRcIB�
PUSH 把字压入堆栈. <br> ,u|�>��%@h
POP 把字弹出堆栈. <br> C1{Q� 4(K%
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. <br> nN&�dtjoF�
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈. <br> Ia%cc
L=�
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈. <br> ^Jx��Vs
�7
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈. <br> �F7<M{h�5s
BSWAP 交换32位寄存器里字节的顺序 <br> 1CJ1-]�S(3
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) <br> ^N7c�X�K*
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX ) <br> <!t;[ie?y�
XADD 先交换再累加.( 结果在第一个操作数里 ) <br> yE
N3/-�S+
XLAT 字节查表转换. <br> 1g=T"O&�=�
—— BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即 <br> E��<LH-_$�
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL ) <br> MX*4d�{�l
2. 输入输出端口传送指令. <br> IV&5a���]j
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} ) <br> 4NRj�>��y�
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 ) <br> I5j|\ �/Ht
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时, <br> �<>��5n;�-
其范围是 0-65535. <br> Foj�|1zJS_
3. 目的地址传送指令. <br> �cC9Z�c#aK
LEA 装入有效地址. <br> �OtAAzc!dQ
例: LEA DX,string ;把偏移地址存到DX. <br> n�2o)K;wW+
LDS 传送目标指针,把指针内容装入DS. <br> >`�WQxk�py
例: LDS SI,string ;把段地址:偏移地址存到DS:SI. <br> Z1$�S(p=)L
LES 传送目标指针,把指针内容装入ES. <br> "K�CG']D�F
例: LES DI,string ;把段地址:偏移地址存到ESI. <br> !F�?j'[s8]
LFS 传送目标指针,把指针内容装入FS. <br> �����Bv�j
例: LFS DI,string ;把段地址:偏移地址存到FSI. <br> 1D�1kjM^Bo
LGS 传送目标指针,把指针内容装入GS. <br> LGt�w4'y�r
例: LGS DI,string ;把段地址:偏移地址存到GSI. <br> � b�u�tB�S
LSS 传送目标指针,把指针内容装入SS. <br> ��4K����~>
例: LSS DI,string ;把段地址:偏移地址存到SSI. <br> ]"�O�*�&��
4. 标志传送指令. <br> DoBQ$Ke p�
LAHF 标志寄存器传送,把标志装入AH. <br> $WR�RCB/A6
SAHF 标志寄存器传送,把AH内容装入标志寄存器. <br> L�*rCUv�`
PUSHF 标志入栈. <br> G�f��!��c�
POPF 标志出栈. <br> ��Te3 ?�z
PUSHD 32位标志入栈. <br> ([SJ6ff]&�
POPD 32位标志出栈. ���'"�hSX=
二、算术运算指令 <br> jW^�]�N�$>
————————————————————————————— <br> �Q7zpu/5?�
ADD 加法. <br> =|f�B":vk�
ADC 带进位加法. <br> ~X�XNzz�]?
INC 加 1. <br> �W8-vF++�R
AAA 加法的ASCII码调整. <br> ��J_<6;�#�
DAA 加法的十进制调整. <br> k5}Qx��'/l
SUB 减法. <br> }Q^*Zq9-��
SBB 带借位减法. <br> �4kK_S.&��
DEC 减 1. <br> �A&j�R-%JG
NEC 求反(以 0 减之). <br>
w%oa�={x
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果). <br> +T,�0,^��*
AAS 减法的ASCII码调整. <br> $&j�VEMia�
DAS 减法的十进制调整. <br> X #$�l7I9H
MUL 无符号乘法. <br> t��Q.H/�;
IMUL 整数乘法. <br> Aeq�^s���
以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算), <br> Da)_�O�JYE
AAM 乘法的ASCII码调整. <br> CL�uQ=-[�|
DIV 无符号除法. <br> �oykb8~u}}
IDIV 整数除法. <br> �V�1Gnr~GM
以上两条,结果回送: <br> w� x�a�MdA
商回送AL,余数回送AH, (字节运算); <br> yKz%-6cpSl
或 商回送AX,余数回送DX, (字运算). <br> .�jbxA��2
AAD 除法的ASCII码调整. <br> alsD �TQ'�
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去) <br> /*��"p�ylm
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去) <br> d+
�[2Sm(7
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去) <br> 5�Z�:qU{[�
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去) =<K6gC��27
三、逻辑运算指令 <br> �|v�1*
�[(
————————————————————————————<br> v�5{2hCdt�
AND 与运算. <br> ��� �BJg
OR 或运算. <br> o?IrDQ2gmh
XOR 异或运算. <br> >V\^oh)t]t
NOT 取反. <br> ]8'PLsS9<w
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果). <br> `9T�5Dem|#
SHL 逻辑左移. <br> LEX �@h�kh
SAL 算术左移.(=SHL) <br> D� �O||o&u
SHR 逻辑右移. <br> =)w#?DG�pj
SAR 算术右移.(=SHR) <br> @a
7U0$,O#
ROL 循环左移. <br> h7o.R�Rh�K
ROR 循环右移. <br> *=T(ncR['�
RCL 通过进位的循环左移. <br> ov�i�^bNQ
RCR 通过进位的循环右移. <br> O*W�<z�a;�
以上八种移位指令,其移位次数可达255次. <br> ��sN��#ju5
移位一次时, 可直接用操作码. 如 SHL AX,1. <br> O,N�V�hU7,
移位>1次时, 则由寄存器CL给出移位次数. <br> h b�8L[� 4
如 MOV CL,04 <br> �Y z�m��MF
SHL AX,CL NBLjB�a%eL
四、串指令 <br> Cbm^:
�_LR
————————————————————————————— <br> (qz)3�F�a�
DS:SI 源串段寄存器 :源串变址. <br> Zp9kx�m�'
ESI 目标串段寄存器:目标串变址. <br>
de��TD|�R
CX 重复次数计数器. <br> $�~�%h4�
AL/AX 扫描值. <br> ]I���zD`��
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量. <br> �8N3y(y0
Z标志 用来控制扫描或比较操作的结束. <br> Y4_xV�&���
MOVS 串传送. <br> �sN��P��
;
( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. ) <br> \wK4bv�UrX
CMPS 串比较. <br> �l(��@���c
( CMPSB 比较字符. CMPSW 比较字. ) <br> B�<a` �o&?
SCAS 串扫描. <br> BL"7_phM�,
把AL或AX的内容与目标串作比较,比较结果反映在标志位. <br> YBF$/W+=9|
LODS 装入串. <br> � _-9cGm v
把源串中的元素(字或字节)逐一装入AL或AX中. <br> 1-&L�-�c.�
( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. ) <br> n1:q:�qMR1
STOS 保存串. <br> #3'M>�SaoH
是LODS的逆过程. <br> �}d;6.�~Gw
REP 当CX/ECX<>0时重复. <br> �["4Tn0g ;
REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX<>0时重复. <br> )}��t't�"�
REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX<>0时重复. <br> Nd{U|k3p�L
REPC 当CF=1且CX/ECX<>0时重复. <br> �S kB�*w'k
REPNC 当CF=0且CX/ECX<>0时重复. ,|.}6\zl*{
五、程序转移指令 <br> �pVrY';[,|
————————————————————————————— <br> �vA�qj4:j
1>无条件转移指令 (长转移) <br> m7�u`r(�&
JMP 无条件转移指令 <br> PL3hrI 5�
CALL 过程调用 <br> �M]��/DKo�
RET/RETF过程返回. <br> �\xv(&94U�
2>条件转移指令 (短转移,-128到+127的距离内) <br> V�xARJ*4=Y
( 当且仅当(SF XOR OF)=1时,OP1<OP2 ) <br> �Mw�)6,O�`
JA/JNBE 不小于或不等于时转移. <br> x{�t�lC}t
JAE/JNB 大于或等于转移. <br> � 2gMG7%d�
JB/JNAE 小于转移. <br> 4l6��8+���
JBE/JNA 小于或等于转移. <br> �r\Kcg�~D>
以上四条,测试无符号整数运算的结果(标志C和Z). <br> ^N��R��f�
JG/JNLE 大于转移. <br> �kxJ[B��i#
JGE/JNL 大于或等于转移. <br> ;ko6ig�x)+
JL/JNGE 小于转移. <br> gq/Za�/�!6
JLE/JNG 小于或等于转移. <br> � �(��/,l0
以上四条,测试带符号整数运算的结果(标志S,O和Z). <br> 85;bJf��Y�
JE/JZ 等于转移. <br> n+te5��_F�
JNE/JNZ 不等于时转移. <br> �~(kqq#�=s
JC 有进位时转移. <br> ( N};.DB1Y
JNC 无进位时转移. <br> ����kc'�t�
JNO 不溢出时转移. <br> _vDmiIn6�K
JNP/JPO 奇偶性为奇数时转移. <br> a#;�;0R� $
JNS 符号位为 "0" 时转移. <br> �o ]z#~^w
JO 溢出转移. <br> ;l�
ZKgi8`
JP/JPE 奇偶性为偶数时转移. <br> |?8n�O.C~V
JS 符号位为 "1" 时转移. <br> *X�2P�T(e[
3>循环控制指令(短转移) <br> #
#2'QNN�
LOOP CX不为零时循环. <br> @�z���{SDM
LOOPE/LOOPZ CX不为零且标志Z=1时循环. <br> �J{Kw@_ypP
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环. <br> ,m5�i(WL��
JCXZ CX为零时转移. <br> }��$'�_%,�
JECXZ ECX为零时转移. <br> \y��]K]i�v
4>中断指令 <br> �#S'��uqP!
INT 中断指令 <br> 4n7Kz_!SVf
INTO 溢出中断 <br> �M�J1qU}+]
IRET 中断返回 <br> c�e}�A!�v�
5>处理器控制指令 <br> ~u��ty<fP�
HLT 处理器暂停, 直到出现中断或复位信号才继续. <br> ��P=jsOuW�
WAIT 当芯片引线TEST为高电平时使CPU进入等待状态. <br> jYR�S�V7d�
ESC 转换到外处理器. <br> C8>
i{XOO,
LOCK 封锁总线. <br> ~$�5XiY8A�
NOP 空操作. <br> i\� X3t5��
STC 置进位标志位. <br> iBSg`"S^]C
CLC 清进位标志位. <br> �dB0#EJ�aE
CMC 进位标志取反. <br> M-Efe_VRQc
STD 置方向标志位. <br> >Rk���aFcq
CLD 清方向标志位. <br> �":�M�]3.�
STI 置中断允许位. <br> `�?(�J��(H
CLI 清中断允许位. A%Ka)UU�+n
六、伪指令 <br> w�.(��W�G+
—————————————————————————<br> H��/x�0'��
DW 定义字(2字节). <br> e�Tvjo(Lvx
PROC 定义过程. <br> 'kt6%���d2
ENDP 过程结束. <br> 经典万能密码'or'='or'入侵演示 D5@=#�/�?*
SEGMENT 定义段. <br> VP�YLDg�.'
ASSUME 建立段寄存器寻址. <br> �!~~KM�?�g
ENDS 段结束. <br> �\EVT*v=}/
END 程序结束. G&{yM2:�E�
输入表免杀的4种方法 {\�`tt�c�>
现在很多杀毒软件把木马的特征码定位在程序的输入表,代表:NOD32,瑞星。以黑仿鸽子为例瑞星有两处内存特征码定位在输入表上,那么我们应该怎样修改呢?修改输入表是今年才被广泛应用的新技术,我知道的修改输入表的方法有4种。 =JzzrM�|V*
1,移位法。 q| 1%G �Nb
用到的工具是C32,和LORDPE。 这个很简单,就是移动特征码的位置,但是从今年下半年起,这种方法对瑞星已经失效了。 �|f��fHOef
2:调换法 =��+MF@� 4
注意:长度大小必须要一样。 fGl�vum���
这种方法对NOD32 和小红伞这两款世界出名杀毒软件的效果还不错。。利用C32上下调换输入表的位置,大家不要仅仅局限在 紧接着的上下两行调换。。。打个比方有4行代码, 你不仅仅可以2,3行互换,你同样可以1,4行互换,只要这些代码是输入表,并且长度一样就没什么问题。 �20|_�wAA5
3,指针修改法 ��xB Wl|j
其实就是移位法的变通,不同的是移位法是在用LORDPE改,而指针修改法是用OD把程序载入内存,找到特征码的文件偏移,然后再用C32修改。。 [�#uhMn�^�
4,重建输入表 l%"DeRp�,/
用到的工具有OD C32 Import Fix LordPE p�7W�t�(A�
1.首先我们OD载入鸽子的服务端,目的使服务端载入计算机内存,然后打开ImportREC 1.6,找到鸽子服务端的程序,选中它。打开PEID载入服务端,我们找到子系统打开后面的大于号 。找到输入表信息: z.-yL,Rc`-
000A8000 000033A2,把这2个地址分别输入到ImportREC 1.6的RAV和大小里面,然后点击获得输入表按健,获得输入表后我们继续点击显示无效的,在找到的输入函数栏里我们任意选种一个点击右健选择[删除指针],继续我们选择[修理DUMP]出现一个提示框选择我们鸽子的服务端,系统自动生成一个新的输入表服务端,但是这个服务端包括2个输入表,我们把原来的输入表删除了,使用我们新建的输入表。我们继续用OD载入鸽子新生成的服务端,点击OD里的M健(内存影射),我们可以看到地址004C2000为我们新建的输入表,.IDATA 段地址004A8000是以前输入表的地址,我们找到它,去头去尾00填充掉,目的是把特征码定位在此处的信息删除掉(去除老的输入表)然后保存。此方法对于特征码定位在输入表的免杀效果不错,大家可以尝试一下。 �";rX�CH.�
注意:在填充原输入表时,填0的原则是能把特征码填掉就好,鸽子的IDATA段还有别的信息.不要从头一下拉到尾整个就给填0了,这样运行会出错,我们选中间的大部分数据填0,就保证程序既能正常运行,而且特征码被填掉,大家多试一两次就可以了。 2�{b�/*�w�
只要是特征码定位在输入表上,重建输入表这种方法基本都可以躲过,但其实个人并不提倡重建输入表,因为重建输入表后,对程序以后的加密有一定影响。。这真的是很矛盾,一方面它免杀效果好,另一方面却并不是自己想看到的,真是鱼与熊掌不可兼得。。 -@(LN%7�!C
微博帐号登录