直接加花法: `�(�!NY�x
1:先记下原入口点 !.E�c��P=S
2:找一个0区域,并且记下地址(最好在0区域开头的下二行写。如果紧靠着正确命令写有时可能出错) �X�Lm@etf�
3:在开头写一些花指令 ,然后JPM跳到入口! (/K�5�!qh
4:选出修改和加的那些花指令(多选出一块) vX+�.e1�m
右键---复制到可执行文件----选择部分-----保存文件! G>%AZr�{M
5:用LPE改入口点! ]#z�ZWg zv
6:用OD看一下。是不是成功改成了! <C t_d �Cc
去头加花法: h�*J�e35
1:复制前三到N行,并复制到剪切板,并且记录下来! �+t��t9R_S
2:记录要跳转到的地方,也就是记录那几条下面的地址(一会要跳回来用!) KE.D ��t�
3:把复制到剪切板那几句用 二进制-----用NOP填冲! J� 02^i�5l
4:找0区域,并记下新入口点,并写上NOP掉的那几句,然后加花,然后跳到原 y+U83a[�L*
来地址下面的地址! | o0�RP|l�
5:先选一部分-------复制到可执行文件-------全部修正-----全部复制------ uS<_4A;sD,
-保存文件 � c%f_.MiU
6:用LPE修改入口点!并且用OD打开查看是否成功! ;.��.o7�I�
加区加花法: cozXb$bB�Y
1:用工具加一个区段,并用PE 区段查看找到起始地址 /ty?<24ko
2:用LPE写新入口点,一般在新的区段后面10个字写。所以新入口地址后面+10 UE �:�HMn6
3:写入花指令,push 原入口点 retn PJ�LR<9��
4:右键---复制到可执行文件----选择部分-----保存文件! #X`8 dnQZ�
狂花乱舞(到处乱跳转): Ug%_@t/?��
1: 记下原入口点,和新入口点 z���[nS$]u
2: 多找几个0区域,或是自己加个 T��~xwo��
3:在新入口点加花。然后跳到下一个0区域。 �%�.H�JK��
4:接着加花。重复上面做的N次(依个人爱好) LM)`CELsYc
5:最后一跳到0区域后。写完花指令跳到入口点 OJO��!FH�)
6:先选一部分-------复制到可执行文件-------全部修正-----全部复制------ Vb|�#M�Nf)
-保存文件 o�G �oK,�
烂花乱飞(加区加花): {zLhiUH a0
1:加N个区 =aG xg57�
2:找到这些区的地址,并且至少加10做为开头写的地方(用OD的查看———内存找比较省事) #qB��r/+�b
3:用call 到加的那几个区的入口点 q2�aYEuu,
4:然后Jmp 跳到程序的入口点。 ��AyKMhac�
5:右键---复制到可执行文件----选择部分-----保存文件! ,:�2�'YB�
6:改程序入口点。改为新的入口点!改为第一个call的地址 }��T2xX�bU
7:用OD找开。并找到call的第一个地址。在那写花指令 最后用 retn回到主程序 tRb]� �7 z
8:右键---复制到可执行文件----选择部分-----保存文件! #6v2�7:XK�
9:再打开。CALL第二个地址。在那写花指令 �gV;��H6"�
10:右键---复制到可执行文件----选择部分-----保存文件! Lkr�uL�_E>
一句话花指令: %8~Q!=�*Iq
最简单也是最容易被杀的。直接找0区域写JPM跳转。。。。。。。保存文件 `>Tu�|3�%\
然后改为那个0区域地址就OK了! jl.p'$Fbn
\�u��qjs+
注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果. (/d5UIM�{&
push ebp �V]Om�fPve
pop ebp /�n~\�\9#3
push eax S��1 Z2�_V
pop eax �.��;�y#��
push esp H&1[n U{?>
pop esp �AqK� z��$
push 0 +;$�oJJ���
push 0 5$DHn ��]�
push 10 -------其中数字可以任意,注意与下面对应 M;cO0UI�wO
push -10 ���5�>3�}_
nop -----------可任意在中间添加 {Q+�gZ�c�u
与它等效的: vS\%3A4^+5
mov EDI,EDI 4h@Z/G!T3�
�k(z�sm"<q
add esp,1 -------其中数字可以任意,注意以下面对应 -':�� Y\:W
add esp,-1 >=�]'hyn]]
add esp,1 --------其中数字可以任意,注意以下面对应 }2�K$^u R
sub esp,1 )p!7 #v/@f
inc ecx Ib�cZ@'RSw
dec ecx Lh.`C7]���
sub eax, -2 ----------其中数字可任意,与dec的个数对应 �� ;r�a�N
dec eax C�y*|&=>j
dec eax � ]xguBh]
add eax -2 ----------其中数字可任意,与inc的个数对应 �6a;v���&5
inc eax ��cBo{/Tn:
inc eax �� J��Hf�
jmp 下一个jmp地址 �l4TpH|�k�
jmp 下一个地址 Ela-,(�Glk
V7TVt,-�3�
push ebp �<�cA/<3k)
mov ebp,esp -------可做为花指令的开头句 p�-����+K4
EC|��'��l�
jmp 入口地址 ------跳到程序入口地址 u�UKc���B:
与它效果一样的还有(以下三个): -48vJR*t�C
push 入口地址 @�-O�nH��E
retn BcD &sQ2F�
jb 入口地址 nk3y"n�e�7
jnb 入口地址 |A�C1\)2tT
mov eax,入口地址 k��i>~H!zB
jmp eax }-~T <egF�
r\�;ut4�wy
hR5_+cu�Ip
-|rL�s$V1r
