1. 找高手幫忙免殺
C32 OD LordPE 偏移轉換工具OC
還有 加殼工具 加殼工具用北斗4.1就可以了 我就用 這個 還要MYCLL
MYCLL 是 定位用的
最好先學會 匯編 學匯編看看8088 就可以了
注:編寫花指令,可參考以下成雙指令,可任意自由組合.達到免殺效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中數字可以任意,注意與下面對應
push -10
nop -----------可任意在中間添加
與它等效的:
mov EDI,EDI
add esp,1 -------其中數字可以任意,注意以下面對應
add esp,-1
add esp,1 --------其中數字可以任意,注意以下面對應
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中數字可任意,與dec的個數對應
dec eax
dec eax
add eax -2 ----------其中數字可任意,與inc的個數對應
inc eax
inc eax
jmp 下一個jmp地址
jmp 下一個地址
push ebp
mov ebp,esp -------可做為花指令的開頭句
jmp 入口地址 ------跳到程序入口地址
與它效果一樣的還有(以下三個):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
************************************************
用北斗壓縮後----再VMProtect加密後,可過瑞星表面
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價於:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價於:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-
jmp XXXXXX等價於:
PUSH XXXXXX
RETN
12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn
*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口
14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax
17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
2. 如何用C語言對文件進行加密和解密急求......................
文件分為文本文件和二進制文件。加密方法也略有不同。
1、文本文件
加密的主要是文本的內容,最簡單的方法就是修改文檔的內容,比如1.txt中的文件內容:
abcd
只要給每一個字元+1,就可以實現加密。文件內容即會變為
bcde
2、二進制文件加密
二進制文件加密也就是對應用程序加密,需要理解可執行文件格式,比如Windows平台的Exe文件它是PE結構,Linux上的可執行文件是ELF結構,要對這樣的程序進行加密,實際上是開發一種叫做「殼」的程序,這種程序的開發,需要將扎實的底層基礎,同時也需要對軟體加密解密有細致的理解,比如流行的vmprotect、z殼以及早些年的upx殼、aspack等等。
3、無論哪種加密都牽涉到文件操作的問題,使用C語言進行文件操作時,極少使用C標准庫中的I/O函數,大多數使用操作系統提供的內存文件映射相關的API函數,有興趣,可以搜索相關的資料。
3. 到目前為止,有沒有把 js 完全加密的方法
其實可以仿照vmprotect寫一個js版本的,vmprotect思想來源於門電路 。
原理是,把加減乘除都用nor指令實現,nor = not not and
於是原來很容易看出邏輯的 and xor not or 都加密成了整齊劃一的單一操作字元nor
再從nor還原回去變的極為困難 。
目前為止vmp虛擬機加密只能半自動甚至手工還原,還原vmp至今是仍然有很大難度(爆破是另一回事) 。
javascript也可以這么做,也就是在js虛擬機上再搞vmp虛擬機 。
但是似乎js界和搞加密解密的交集太少,沒有人去做這個事情 。
也可能是js並沒有那麼高的價值值得如此保護。