|
4. 常用免杀汇编指令
- mov ebp,9:传送指令
- push ebp :进栈指令
- pop ebp :出栈指令
- add esp,8 :加法指令
- sub esp,8 :减法指令
- inc ecx :增量指令
- dec ecx :减量指令
- jmp 00000001 :无条件跳转指令
- call 00000001 :调用指令
- xchg:交换指令
- pushad:压栈8个寄存器
- popad:弹出8个寄存器(先进后出)
三、免杀常用等价替换汇编指令修改方法
A开头:
- add 改adc
- ADD 改ADC
- ADD 1 改 sub -1
- add dword ptr ss:[ebp-130],edx ---------adc dword ptr ss:[ebp-130],edx
- ADD [EAX],CH----------------------------ADD [EAX],DH
- ADD [EAX],BH 0038 ----------------------ADD [EAX+40],AL 0040 40
- ADD [EAX+EAX*2+46],AL ------------------ADD [EAX+EAX*2+46],CL
- ADD [EAX+40],DL 0050 40 ----------------0058 40 ADD [EAX+40],DL
- ADD AH,CH 00EC -------------------------00F4 ADD AH,DH
- add dword ptr ss:[ebp-130],edx -------- adc dword ptr ss:[ebp-130],edx
C开头:
- CMP 改SUB
- call 复件_(4).004CF607 ----------------- push 复件_(4).004CF607
- CMP DWORD PTR DS:[100170A4],0 -------------sub DWORD PTR DS:[100170A4],0
- CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP
- 方法2--看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR
- 方法3--看附近jnz跳转该下跳转的地址/可免杀不/
- CALL EAX |CALL EBX
- 比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令
- 就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP
- 不进行CMP比效
- CMP ESI,1
- call 改 jmp
D开头:
- DAA 组合的十进制加法调整指令 --------DAS 减法的十进制调整.
J开头:
- JE 改 JNB
- JNZ 改 JNL
- jnz 改 JB
- JE 改 JNA
- je 改 jb
- jnz 改 jg
- js 改 jp
- je 改 jle
- jnz 改 jle
- je 改 jge
- JE 改 jnz
- JE 改 JB
- JNS 改 POP ECX
- JNS 改 jnc-jnb
- JNB 改 JGE
- jnb short fsg2_0.0040015D----------------ja short fsg2_0.0040015D
- JMP NEAR [1071c]---------------------JMP NEAR [1071B]
- jnz--je-jmp修改中要看下跳的地址是不是很重要说明[1]
- JNZ 00874E85--MOV EAX,88B6D0 可以是该成JE 00874E85--MOV EAX,88B6D0
L开头:
- LEA EBP,[ESP+10] 改 LEA EBP,[ESP+10]
M开头:
- MOVSX 改 MOVZX
- MOV EBP,ESP 改 AND AH,CH
- MOV [EBP-18],ESP 改 MOV [EBP-18],AH
- MOV EAX,[ESP+10] 改 MOV EAX,[ESP+10]
- MOV [ESP+10],EBP 改 MOV [ESP+10],EBP
- mov [ebp-256], eax 改 adc [ebp-226], eax
- MOV EDI,[EBP+10] 改 MOV EDI,[EBP+11]
- MOV EBX,DWORD PTR DS:[ESI] 改 XOR EBX,DWORD PTR DS:[ESI]
- MOV EBP,ESP--------AND AH,CH
- MOV EBX,DWORD PTR DS:[ESI]---------XOR EBX,DWORD PTR DS:[ESI]
P开头:
- push 改call
- PUSH EBX PUSH EDI
- PUSH ESI PUSH EAX
- PUSH EDI PUSH ESI
- PUSH EAX PUSH EBX
- pop 改 nop
S开头:
- sbb 改adc
- sub 改mov
- SHL 改 SAL
- SAR 改 SHR
- sub ebp,7---------- add ebp,-7
- sub ebx,eax----------sbb esi,ecx
- SBB ECX,DWORD PTR DS:[ESI+2]----------ADC ECX,DWORD PTR DS:[ESI+2]
- sub ebx,eax----------sbb esi,ecx
X开头:
- xor 改sub
- XOR [EAX],AL-------改--------MOV [EAX],AL
- XOR EAX,EAX-----改-------OR EAX,EAX
【编辑推荐】 - 十大黑客工具之John the Ripper(密码破解)
- 通过RDP隧道绕过网络限制
- “流浪加密货币”?重大新兴威胁 SpeakUp 肆虐而来
- Java代码审计之SpEL表达式注入
- 2019年10大最佳Hyper-V监控工具和软件
【责任编辑:赵宁宁 TEL:(010)68476606】
点赞 0 (编辑:宣城站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
