| 1.伪装vc++5.0代码: PUSH EBP MOV EBP,ESP PUSH -1 push 415448 -\___ PUSH 4021A8 -/ 在这段代码中类似这样的*作数可以乱填 MOV EAX,DWORD PTR FS:[0] PUSH EAX MOV DWORD PTR FS:[0],ESP ADD ESP,-6C PUSH EBX PUSH ESI PUSH EDI ADD BYTE PTR DS:[EAX],AL /这条指令可以不要! jmp 原入口地址 ************************************************************************ 2.胡乱跳转代码: push ebp mov ebp,esp inc ecx push edx nop pop edx dec ecx pop ebp inc ecx loop somewhere /跳转到上面那段代码地址去! somewhere: nop /"胡乱"跳转的开始... jmp 下一个jmp的地址 /在附近随意跳 jmp ... /... jmp 原入口地址 /跳到原始oep ************************************************************************ 3.伪装c++代码: push ebp mov ebp,esp push -1 push 111111 push 222222 mov eax,fs:[0] push eax mov fs:[0],esp pop eax mov fs:[0],eax pop eax pop eax pop eax pop eax mov ebp,eax jmp 原入口地址 ************************************************************************ 4.伪装Microsoft Visual C++ 6.0代码: PUSH -1 PUSH 0 PUSH 0 MOV EAX,DWORD PTR FS:[0] PUSH EAX MOV DWORD PTR FS:[0],ESP SUB ESP,68 PUSH EBX PUSH ESI PUSH EDI POP EAX POP EAX POP EAX ADD ESP,68 POP EAX MOV DWORD PTR FS:[0],EAX POP EAX POP EAX POP EAX POP EAX MOV EBP,EAX JMP 原入口地址 ************************************************************************ 5.伪装防杀精灵一号防杀代码: push ebp mov ebp,esp push -1 push 666666 push 888888 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp pop eax mov dword ptr fs:[0],eax pop eax pop eax pop eax pop eax mov ebp,eax jmp 原入口地址 ************************************************************************ 6.伪装防杀精灵二号防杀代码: push ebp mov ebp,esp push -1 push 0 push 0 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp sub esp,68 push ebx push esi push edi pop eax pop eax pop eax add esp,68 pop eax mov dword ptr fs:[0],eax pop eax pop eax pop eax pop eax mov ebp,eax jmp 原入口地址 ************************************************************************ 7.伪装***彩衣(无限复活袍)代码: PUSH EBP MOV EBP,ESP PUSH -1 push 415448 -\___ PUSH 4021A8 -/ 在这段代码中类似这样的*作数可以乱填 MOV EAX,DWORD PTR FS:[0] PUSH EAX MOV DWORD PTR FS:[0],ESP ADD ESP,-6C PUSH EBX PUSH ESI PUSH EDI ADD BYTE PTR DS:[EAX],AL /这条指令可以不要! jo 原入口地址 jno 原入口地址 call 下一地址 ************************************************************************ 8.伪装***彩衣(虾米披风)代码: push ebp nop nop mov ebp,esp inc ecx nop push edx nop nop pop edx nop pop ebp inc ecx loop somewhere /跳转到下面那段代码地址去! someshere: nop /"胡乱"跳转的开始... jmp 下一个jmp的地址 /在附近随意跳 jmp ... /... jmp 原入口的地址 /跳到原始oep ************************************************************************ 9.伪装花花添加器(神话)代码:-----------根据C++改 nop nop nop mov ebp,esp push -1 push 111111 push 222222 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp pop eax mov dword ptr fs:[0],eax pop eax pop eax pop eax pop eax mov ebp,eax mov eax,原入口地址 push eax retn ************************************************************************ 10.伪装花花添加器(无极)代码: nop mov ebp, esp push -1 push 0A2C2A push 0D9038 mov eax, fs:[0] push eax mov fs:[0], esp pop eax mov fs:[0], eax pop eax pop eax pop eax pop eax mov ebp, eax mov eax, 原入口地址 jmp eax ************************************************************************ 11.伪装花花添加器(金刚)代码:--------根据VC++5.0改 nop nop mov ebp, esp push -1 push 415448 push 4021A8 mov eax, fs:[0] push eax mov fs:[0], esp add esp, -6C push ebx push esi push edi add [eax], al mov eax,原入口地址 jmp eax ************************************************************************ 12.伪装花花添加器(杀破浪)代码: nop mov ebp, esp push -1 push 0 push 0 mov eax, fs:[0] push eax mov fs:[0], esp sub esp, 68 push ebx push esi push edi pop eax pop eax pop eax add esp, 68 pop eax mov fs:[0], eax pop eax pop eax pop eax pop eax mov ebp, eax mov eax, 原入口地址 jmp eax ************************************************************************ 12.伪装花花添加器(痴情大圣)代码: nop ..........省略N行nop nop push ebp mov ebp, esp add esp, -0C add esp, 0C mov eax, 原入口地址 push eax retn ************************************************************************ 13.伪装花花添加器(如果*爱)代码: nop ........省略N行nop nop push ebp mov ebp, esp inc ecx push edx nop pop edx dec ecx pop ebp inc ecx mov eax, 原入口地址 jmp eax ************************************************************************ 14.伪装PEtite 2.2 -> Ian Luck代码: mov eax,0040E000 push 004153F3 push dword ptr fs:[0] mov dword ptr fs:[0],esp pushfw pushad push eax xor ebx,ebx pop eax popad popfw pop dword ptr fs:[0] pop eax jmp 原入口地址 '执行到程序的原有OEP ************************************************************************ 15.无效PE文件代码: push ebp mov ebp,esp inc ecx push edx nop pop edx dec ecx pop ebp inc ecx MOV DWORD PTR FS:[0],EAX \ POP EAX | POP EAX \ MOV DWORD PTR FS:[0],EAX |(注意了。。花指令) POP EAX / POP EAX | MOV DWORD PTR FS:[0],EAX / loop 原入口地址 ************************************************************************ 16.伪装防杀精灵终极防杀代码: push ebp mov ebp,esp add esp,-0C add esp,0C push eax jmp 原入口地址 ************************************************************************ 17.伪装***彩衣(金色鱼锦衣)花代码 push ebp mov ebp,esp add esp,-0C add esp,0C mov eax,原入口地址 push eax retn ************************************************************************ 18. 在mov ebp,eax 后面加上 PUSH EAX POP EAX ************************************************************************ 19.伪装UPX花指令代码: pushad mov esi,m.0044D000 lea edi,dword ptr ds:[esi+FFFB4000] push edi or ebp,FFFFFFFF jmp short m.00477F2A ************************************************************************ 20. push ebp mov ebp,esp inc ecx push edx pop edx dec ecx pop ebp inc ecx jmp 原入口 ************************************************************************ 【深层】伪装 WCRT Library (Visual C++) DLL Method 1 -> Jibz 二进制代码 + 汇编代码: 使用二进制粘贴以下代码: 55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59 粘贴完毕后,再添加2行汇编语句: jmp 原入口地址 '执行到程序的原有OEP retn 0C ************************************************************************ |
