花指令编写手册-花指令B.doc

1。 VC+ 5.0PUSH EBP MOV EBP,ESP PUSH -1 push 515448 PUSH 6021A8 MOV EAX,DWORD PTR FS:0 PUSH EAX MOV DWORD PTR FS:0,ESP ADD ESP,-6C PUSH EBX PUSH ESI PUSH EDI jmp 跳转到程序原来的入口点 2。c +push ebpmov ebp,esppush -1push 111111push 222222mov eax,fs:0push eaxmov fs:0,esppop eaxmov fs:0,eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 跳转到程序原来的入口点3。跳转somewhere: nop /胡乱跳转的开始. jmp 下一个jmp的地址 /在附近随意跳 jmp . /. jmp 原入口的地址 /跳到原始oep-新入口: push ebp mov ebp,esp inc ecx push edx nop pop edx dec ecx pop ebp inc ecx loop somewhere /跳转到上面那段代码地址去！ jmp somewhere4。Microsoft Visual C+ 6.0push ebpmov ebp,espPUSH -1PUSH 0PUSH 0MOV EAX,DWORD PTR FS:0PUSH EAXMOV DWORD PTR FS:0,ESPSUB ESP,68PUSH EBXPUSH ESIPUSH EDIPOP EAXPOP EAXPOP EAXADD ESP,68POP EAXMOV DWORD PTR FS:0,EAXPOP EAXPOP EAXPOP EAXPOP EAXMOV EBP,EAXJMP 原入口5。在mov ebp,eax后面加上PUSH EAX POP EAX 6.push ebpmov ebp,espadd esp,-0Cadd esp,0Cmov eax,403D7Dpush eaxretnpush ebpmov ebp,esppush -1push 00411222push 00411544mov eax,dword ptr fs:0push eaxmov dword ptr fs:0,espadd esp,-6Cpush ebxpush esipush ediadd byte ptr ds:eax,aljo 入口jno 入口call 下一地址7.push ebpnopnopmov ebp,espinc ecxnoppush edxnopnoppop edxnoppop ebpinc ecxloop 任意地址nopnopnopnopjmp 下一个jmp的地址 /在附近随意跳nopjmp 下一个jmp的地址 /在附近随意跳nopjmp 下一个jmp的地址 /在附近随意跳jmp 入口PUSH EBP MOV EBP,ESP nopnop PUSH -1 nopnop push 515448 nopnop PUSH 6021A8 nopnop MOV EAX,DWORD PTR FS:0 PUSH EAX MOV DWORD PTR FS:0,ESPnopnopMOV EAX,DWORD PTR FS:1 PUSH EAX MOV DWORD PTR FS:1,ESPnopnopMOV EAX,DWORD PTR FS:2 PUSH EAX MOV DWORD PTR FS:2,ESPnopnopmov eax,fs:0push eaxmov fs:0,espnopnop inc ecxpush eaxpop eaxpush edxnoppop edxdec ecxpop ebpinc ecx nopnop ADD ESP,-6C PUSH EBX PUSH ESI PUSH EDI jmp 跳转到程序原来的入口点-UPX 花指令pushadmov esi,m.0044D000lea edi,dword ptr ds:esi+FFFB4000push edior ebp,FFFFFFFFjmp short m.00477F2A00477F00 m 60 pushad00477F01 BE 00D04400 mov esi,m.0044D00000477F06 . 8DBE 0040FBFF lea edi,dword ptr ds:esi+FF