免杀花指令编写组合----非常常用，免杀必备

1.POP 0 

POP 0

2.PUSH ebp
pop ebp

pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-

jmp XXXXXX等价于:
PUSH XXXXXX
RETN

12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址

13.最新的一段万能免杀花指令:

push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp 入口

14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax

nop

15.
jmp 改成:Jg(大于转移),JL(小于转移)

或改成:jb(小于转移),jnb(大于或等于转移)

16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn

*****************************************************************

免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.