欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

网上收集了几个花指令

来源:转载 作者:佚名 时间:2005-10-18 TAG: 我要投稿
花指令:

push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
jmp 原入口

1。伪装 vc

VC++程序的入口代码:
PUSH EBP 
MOV EBP,ESP 
PUSH -1 
push 415448 -\___
PUSH 4021A8 -/ 在这段代码中类似这样的操作数可以乱填 
MOV EAX,DWORD PTR FS:[0] 
PUSH EAX 
MOV DWORD PTR FS:[0],ESP 
ADD ESP,-6C 
PUSH EBX 
PUSH ESI 
PUSH EDI 
ADD BYTE PTR DS:[EAX],AL /这条指令可以不要!
jmp 跳转到程序原来的入口点

2。跳转

somewhere: 
nop /"胡乱"跳转的开始...
jmp 下一个jmp的地址 /在附近随意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳转到上面那段代码地址去!


3.C:
融合
把A的代码换成B的
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 老入口

4. c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax


5.Microsoft Visual C++ 6.0
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口

6.
在mov ebp,eax
后面加上
PUSH EAX 
POP EAX 

7.VC++ 5.0
PUSH EBP                               
MOV EBP,ESP                            
PUSH -1                                
push 515448                 
PUSH 6021A8                 
MOV EAX,DWORD PTR FS:[0]               
PUSH EAX                               
MOV DWORD PTR FS:[0],ESP               
ADD ESP,-6C                            
PUSH EBX                               
PUSH ESI                               
PUSH EDI    
jmp

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载