花指令的花指令生成器

一、写花指令生成器必备知识

1、花指令原理

花指令是程序中的无用代码，程序对它没影响，少了它也能正常运行。加花指令后，杀毒软件对木马静态反汇编时，木马的代码就不会正常显示出来，加大杀毒软件的查杀难度。

2、如何写花指令

下面我们先看看一段花指令，分析理解它的原理：

PUSH EBP

MOV EBP,ESP

push edx

pop edx

inc ecx

dec ecx

add esp,21

add esp,-21

add esp,10

sub esp,10

JMP 附近空地址随便乱跳

JMP 原入口点

花指令一般有三部分，开头就是PUSH EBP和MOV EBP,ESP这两句在大部分程序开头可以经常看到。PUSH EBP是把EBP压入堆栈，MOV EBP,ESP是把ESP的值赋给EBP，不懂没关系，只要知道PUSH EBP和MOV EBP,ESP这两句经常出现在文件开头就可以了，随便用OllyDbg打开一个不加壳的文件载入后经常停在PUSH EBP MOV EBP,ESP。

接下来就是花指令啦，push edx是把通用寄存器EDX压入堆栈，pop edx是把通用寄存器EDXd出堆栈，这两句和起来就相当于什么也没做。接下来的inc ecx，ecx用来保存计数值，也是寄存器，INC是加1；下面的dec ecx中的dec是减1，加1减1相抵消，又是什么也没做。add esp,21这是寄存器esp加21，add是加上，下面一句add esp,-21是寄存器esp加－21，小学知识，+21+（-21）=0，还是什么也没做。再下来add esp,10寄存器esp加21，sub esp,10寄存器esp减10，sub是减去。一个+10，一个-10相互抵消了。

最后是跳转语句，我用两句JMP，第一句在花指令附近随便跳到个空地址，第二个JMP是从空地址跳回文件的原入口点。

3、如何写入花指令

我们来看看加花指令的一般步骤：

1、准备好要加的花指令；

2、准备未加壳的黑客软件；

3、用OllyDbg打开这个黑客软件，记下入口点的内存地址；

4、找到零地址，一句一句写入花指令，再用JMP跳回程序入口点；（如果找不到空白地址，我们可以用zeroadd加区段，英文软件，我汉化好的， *** 作简单就不演示了。）

5、保存后用Peditor修改文件入口点为开始写花指令的地址。这样运行程序就先运行花指令再跳回程序的原始开头执行程序了；

6、检测程序是否正常运行和免杀效果。

免杀，顾名思义就是说避免被杀毒软件查杀!

免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。

⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。

⒉内存免杀:修改特征码。

⒊行为免杀。

现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论，只对原理进行分析，毕竟这不是黑客教程)

加花

加花是病毒免杀的常用手段，加花原理就是通过添加加花指令(一些垃圾指令，类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解，不做解释)

特征码修改

加花以后一些杀毒软件就认不出来了，但有些比较强的杀毒软件，像卡巴斯基这类，可能还是会被杀，这时就要定位特征码修改了，要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，特别是复合特征码的定位，但复合特征码虽然增加了定位特征码的难度，但复合特征码也有它的弱点，因为定义复合特征码需要单个特征码几倍的病毒库，不方便用户的病毒库升级，所以除了特别流行的病毒，杀毒软件厂商并没有做太多的复合特征码。

定位了特征码之后就应该修改特征码了，主要方法有两种:直接修改法，跳转修改法。

直接修改法利用的是等效指令替换，或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码，可以直接修改大小写，大写替换小写，小写替换大写。

跳转修改发比较简单，主要原理是把有特征码的那段NOP掉，然后把NOP掉的那段语句写入空白的0000区，在通过JMP跳转连接起来，让杀毒软件找不到特征码，从而达到免杀的目的。

加壳

加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用。

脱壳当然就是去掉保护程序

想要加壳后能达到免杀的效果

那就要加最新的免杀壳!!!!

要采纳哈。

---