木马免杀花指令的写法

所谓花指令就是汇编指令保持堆栈的平衡而胡乱写的

push ebp和pop ebp是废话
inc ecx   dec ecx是废话
push eax /pop eax是废话
add esp,+0c / add esp,-0c
是废话
push esi /push edi

push 415448         -\___
PUSH 4021A8         -/   在这段代码中类似这样的操作数可以乱填  

ADD BYTE PTR DS:[EAX],AL 这句也随便可以写在一个地方

MOV EAX,DWORD PTR FS:[0]      
PUSH EAX            
MOV DWORD PTR FS:[0],ESP  以上三句也是

在mov ebp,eax
后面加上
PUSH EAX
POP EAX


以上是化指令的中间写法，开头主要用
push ebp
mov ebp,esp
或者

   XCHG EAX,EBX         ; getkey.<模块入口点>
   MOV EBP,ESP

PUSH EAX 开头写法
POP EAX
MOV EBP,ESP



跳回入口方法
mov eax,00401000   00401000填你修改程序的原始入口地址<注意>~!!
push eax
retn


或者直接JMP跳回

一下是一个例子：



   push ebp
    pop ebp
    mov cl, 1
    sub al, 90
    xchg eax, ebp
    dec ebp
    inc edx
    inc eax
    and ah, al
    adc dword ptr [eax+6], 6E
    and ch, [edx-1C]
    nop
    nop
    nop
    nop
    call 004A1E48

++++++++++++++++++++++++++++++++++++++
菜菜写花指令的手册

push ebp
pop ebp

push eax
pop eax

push esp
pop esp

push 0
push 0

push 10   -------其中数字可以任意,注意与下面对应
push -10

nop   -----------可任意在中间添加
mov edi,edi -----效果与nop一样

add esp,1  -------其中数字可以任意,注意以下面对应
add esp,-1

add esp,1  --------其中数字可以任意,注意以下面对应
sub esp,1

inc ecx
dec ecx

sub,eax,-2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax

add,eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax

jmp 下一个jmp地址
jmp 下一个地址


push ebp
mov ebp,esp -------可做为花指令的开头句



jmp 入口地址  ------跳到程序入口地址
与它效果一样的还有(以下三个):

push 入口地址
retn

jb  入口地址
jnb 入口地址

mov eax,入口地址
jmp eax