您现在的位置: 骇客基地 >> 黑客文章 >> 黑客攻防 >> 黑客编程 >> 正文

免杀学习经典技术知识汇总
骇客基地 阅读: 时间:2007-12-14 6:30:57 来源:www.hookbase.com
  

本人的一点建议 做免杀一定要会脱壳 虽然不要求你能脱掉所有的壳 但是一般的壳一定要会 北斗还是很好脱的. 不然如果不会脱壳 不把程序的壳脱掉 免杀就好比是空中楼阁的

建议兄弟们一定要看完 对你会有所帮助的
天天看别人教程做免杀 不如自己会免杀技术. 这些就是基础知识了 一定要掌握 多多练手就会了

一.机械码,又称机器码.
ultraedit打开,编辑exe文件时你会看到
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码
就是机器码.
修改程序时必须通过修改机器码来修改exe文件.

二.需要熟练掌握的全部汇编知识(只有这么多)
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了
cmp a,b 比较a与b
mov a,b 把b的值送给a
ret 返回主程序
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)
call 调用子程序
je 或jz 若相等则跳(机器码74 或0F84)
jne或jnz 若不相等则跳(机器码75或0F85)
jmp 无条件跳(机器码EB)
jb 若小于则跳
ja 若大于则跳
jg 若大于则跳
jge 若大于等于则跳
jl 若小于则跳
jle 若小于等于则跳
pop 出栈
push 压栈

三.常见修改(机器码)
74=>75 74=>90 74=>EB
75=>74 75=>90 75=>EB

jnz->nop
75->90(相应的机器码修改)

jnz -> jmp
75 -> EB(相应的机器码修改)

jnz -> jz
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改)

四.两种不同情况的不同修改方法

1.修改为jmp
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息

xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能...,"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 

"Can’t save in Shareware/Demo"等 (我们希望把它跳过,不让它出现)
。。。
。。。
xxxxxxxxxxxx 正确路线所在

2.修改为nop
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使

程序顺利来到紧跟其后的正确信息处

xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)
。。。
。。。
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. 

1. 通用数据传送指令. 
MOV 传送字或字节. 
MOVSX 先符号扩展,再传送. 
MOVZX 先零扩展,再传送. 
PUSH 把字压入堆栈. 
POP 把字弹出堆栈. 
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. 
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈. 
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈. 
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈. 
BSWAP 交换32位寄存器里字节的顺序 
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数) 
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX ) 
XADD 先交换再累加.( 结果在第一个操作数里 ) 
XLAT 字节查表转换. 
── BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即 
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL ) 

2. 输入输出端口传送指令. 
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} ) 
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 ) 
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时, 
其范围是 0-65535. 

3. 目的地址传送指令. 
LEA 装入有效地址. 
例: LEA DX,string ;把偏移地址存到DX. 
LDS 传送目标指针,把指针内容装入DS. 
例: LDS SI,string ;把段地址:偏移地址存到DS:SI. 
LES 传送目标指针,把指针内容装入ES. 
例: LES DI,string ;把段地址:偏移地址存到ESI. 
LFS 传送目标指针,把指针内容装入FS. 
例: LFS DI,string ;把段地址:偏移地址存到FSI. 
LGS 传送目标指针,把指针内容装入GS. 
例: LGS DI,string ;把段地址:偏移地址存到GSI. 
LSS 传送目标指针,把指针内容装入SS. 
例: LSS DI,string ;把段地址:偏移地址存到SSI. 

4. 标志传送指令. 
LAHF 标志寄存器传送,把标志装入AH. 
SAHF 标志寄存器传送,把AH内容装入标志寄存器. 
PUSHF 标志入栈. 
POPF 标志出栈. 
PUSHD 32位标志入栈. 
POPD 32位标志出栈. 

[1] [2] [3] 下一页

今天广告
参与评论:
注意事项:
【免杀学习经典技术知识汇总】文章由骇客基地网上搜集,其立场行为并不代表本站。
如果您发现该文章若无意中侵犯到您的权利,请联系我们!
未经本站明确许可,任何网站不得非法盗链及抄袭本站资源;如引用页面,请注明来自本站,谢谢您的支持!
最近更新
最新推荐
     
 
黑客首页 | 服务指南 | 软件发布  | 关于我们 | 本站声明  | 隐私声明 | 诚征英才 | 网站地图 | 友情链接 |
 
 
中国·黑客·骇客·基地 请使用IE6.0版本, 分辩率1024×768进行浏览 www.hookbase.com 站长:利客 Email:hookbase@163.com
Copyright © 2004-2009 All Rights Reserved. 粤ICP备05000985号