等价替换.pdf

等价替换等价替换 前面后面 MOV 互换 TEST 改 AND AND 改 TEST ADD 改 ADC ADC 改 ADD OR 改 XOR XOR 改 OR 大小翻转 文件头 JE JNZ 往上面移 或往下面移 SAR 往上面改 PUSH 往上面改 OR 改 XOR 免杀等价替换汇编指令修改 = = A 开头 = = add改 adc ADD改 ADC ADD 1 改 sub -1 add dword ptr ss:ebp-130,edx -adc dword ptr ss:ebp-130,edx ADD EAX,CH-ADD EAX,DH ADD EAX,BH 0038 -ADD EAX+40,AL 0040 40 ADD EAX+EAX*2+46,AL -ADD EAX+EAX*2+46,CL ADD EAX+40,DL 0050 40 -0058 40 ADD EAX+40,DL ADD AH,CH 00EC -00F4 ADD AH,DH add dword ptr ss:ebp-130,edx - adc dword ptr ss:ebp-130,edx = = C 开头 = = CMP改 SUB call 复件_(4).004CF607 - push 复件_(4).004CF607 CMP DWORD PTR DS:100170A4,0 -sub DWORD PTR DS:100170A4,0 CALL -看到了 CALL 跟随进去看 NOP 就可以把 CALL 的地址该成 NOP 方法 2-看下附近有没有 MOV 修该成 NOP 看下可以免杀不。可以的话该 XOR 方法 3-看附近 jnz 跳转该下跳转的地址/可免杀不/ CALL EAX|CALL EBX 比效指令 CMP：看下是个比效指令 在看下 JNZ 条件转移指令 就是说 CMP 比效正确就跳那我们可以把 CMP 用 NOP 掉在把 JNZ 该成 JMP 不进行 CMP 比效 CMP ESI,1 JNZ SHORT VVV.1000D793 = = D 开头 = = DAA 组合的十进制加法调整指令 -DAS减法的十进制调整. = = J 开头 = = JE改JNB JNZ改JNL jnz改JB JE改JNA je改jb jnz改jg js改jp je改jle jnz改jle je改jge JE改jnz JE改JB JNS改POP ECX JNS改jnc-jnb JNB改JGE jnb short fsg2_0.0040015D-ja short fsg2_0.0040015D JMPNEAR 1071c-JMPNEAR 1071B jnz-je-jmp 修改中要看下跳的地址是不是很重要说明1 JNZ 00874E85-MOV EAX,88B6D0 可以是该成 JE 00874E85-MOV EAX,88B6D0 = = L 开头 = = LEA EBP, ESP+10改LEA EBP,ESP+10 = = M 开头 = = MOVSX改MOVZX MOV EBP,ESP改AND AH,CH MOV EBP-18,ESP改MOV EBP-18,AH MOV EAX,ESP+10改MOV EAX,ESP+10 MOV ESP+10,EBP改MOV ESP+10,EBP mov ebp-256, eax改adc ebp-226, eax MOV EDI,EBP+10改MOVEDI,EBP+11 MOV EBX,DWORD PTR DS:ESI改XOR EBX,DWORD PTR DS:ESI MOV EBP,ESP-AND AH,CH MOV EBX,DWORD PTR DS:ESI-XOR EBX,DWORD PTR DS:ESI = = O 开头 = = OR 改 XOR = = P 开头 = = push改 call PUSH EBX PUSH EDI PUSH ESI PUSH EAX PUSH EDI PUSH ESI PUSH EAX PUSH EBX = = S 开头 = = sbb 改 adc sub 改 mov SHL 改 SAL SAR 改 SHR sub ebp,7- add ebp,-7 sub ebx,eax-sbb esi,ecx SBB ECX,DWORD PTR DS:ESI+2-ADC ECX,DWORD PTR DS:ESI+2 PUSHEAX改PUSHEBX SUBESP,EAX改SUBESP,EAX PUSHEBX改PUSHEDI PUSHESI改PUSHEAX PUSHEDI改PUSHESI sub ebx,eax-sbb esi,ecx = = T 开头 = = TEST ESI,ESI-改- ANDESI,ESI = = X 开头 = = xor 改 sub XOREAX,AL-改-MOVEAX,AL XOR EAX,EAX-改-OR EAX,EAX MOV-CMP(有时候可以替换) MOV EAX,7-SUB EAX,7 ADD-ADC(有时候可以替换) SUB-SBB(有时候可以替换) TEST-AND XOR-OR OR-XOR LEA-SUB CMP-SUB xor eax，eax xor eax，eax 改成 xor eax，eax or eax，eax 有时候可以批量替换 在 C32 里面搜索 33 c0 33 c0 替换成 33 c0 09 c0 全部替换有时候都不会出问题.而且免杀效果也还可以. Test eax，eax JE XXXXXXXXX 改成 AND EAX,EAX JE XXXXXXXXX 有时候也可以批量替换 把 85 C0 74 替换成 21 C0 74 = = 其他 - 修改 jd 改为 JG 还可以看下 JB 一般都是 2 个字节，2 进制看下 ascll 吗，基本上还可以修改大小的，还有的是看下跳转 jb-jg - CALL -看到了 CALL 跟随进去看 NOP 就可以把 CALL 的地址该成 NOP 方法 2-看下附近有没有 MOV 修该成 NOP 看下可以免杀不。可以的话该 XOR 方法 3-看附近 jnz 跳转该下跳转的地址/可免杀不/ JNZ 00874E85-PUSH DWORD PTR DS:88F658 PUSH 下面 MOV ECX,88C0AC 就可以 JNZ 该到 MOV 连接 - - 005E 01 ADD BYTE PTR DS:ESI+1,BL 修改方法 006E 01 ADD BYTE PTR DS:ESI+1,CH 这样的成功机会不大看运气 - 修改这样的命令要看下 1071C 的地址，有没有，可以修改的 本身怎个命令是不可以修改的 JMP DWORD PTR DS:1071C-DS:1071b 还可以看下上下有没有空的代码来换下位置 - 看下面的命令 观察上下的指令来修改| CALL EAX|CALL EBX MOV DWORD PTR SS:EBP-1C,EAX|MOV DWORD PTR SS:EBP-1C,EBX - 比效指令 CMP：看下是个比效指令 在看下 JNZ 条件转移指令 就是说 CMP 比效正确就跳那我们可以把 CMP 用 NOP 掉在把 JNZ 该成 JMP 不进行 CMP 比效 CMP ESI,1 JNZ SHORT VVV.1000D793 - 看下 MOV 数据传送指令 很明白就是将 ESI 给 ESP+14 那看下 JE 跳下去的指令 XOR AL,AL 没有用可以 NOP 掉 MOV ESP+14,ESI JE 1000A74B 跳转去下个指令 XOR AL,AL 修改成 MOV ESP,ESI ADD ESP,14 - LEA 有效地址传送指令，遇到这样的指令不要该他可能会不能运行 LEA ECX,ESP+10 修改思路可以看下，上面的指令，如下 MOV EAX,DWORD PTR DS:EBX CMP EAX,-1 JE 100017E9 到达的就是 LEA ECX,ESP+10 上面可以看出是一系列的比对指令，最后 LEA 地址传 可以把 MOV CMP JE 三个比对 N