如何给木马加花指令 加壳 做免杀等

免杀，顾名思义就是说避免被杀毒软件查杀!

免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。

⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。

⒉内存免杀:修改特征码。

⒊行为免杀。

现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论，只对原理进行分析，毕竟这不是黑客教程)

加花

加花是病毒免杀的常用手段，加花原理就是通过添加加花指令(一些垃圾指令，类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解，不做解释)

特征码修改

加花以后一些杀毒软件就认不出来了，但有些比较强的杀毒软件，像卡巴斯基这类，可能还是会被杀，这时就要定位特征码修改了，要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，特别是复合特征码的定位，但复合特征码虽然增加了定位特征码的难度，但复合特征码也有它的弱点，因为定义复合特征码需要单个特征码几倍的病毒库，不方便用户的病毒库升级，所以除了特别流行的病毒，杀毒软件厂商并没有做太多的复合特征码。

定位了特征码之后就应该修改特征码了，主要方法有两种:直接修改法，跳转修改法。

直接修改法利用的是等效指令替换，或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码，可以直接修改大小写，大写替换小写，小写替换大写。

跳转修改发比较简单，主要原理是把有特征码的那段NOP掉，然后把NOP掉的那段语句写入空白的0000区，在通过JMP跳转连接起来，让杀毒软件找不到特征码，从而达到免杀的目的。

加壳

加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用。

脱壳当然就是去掉保护程序

想要加壳后能达到免杀的效果

那就要加最新的免杀壳!!!!

要采纳哈。

什么是花指令？当然不是"flower code"，呵呵，实际上，把它按照“乱指令”来理解可能更贴切一些，它的真正英文名应该叫"thunkcode"吧(不确定，呵呵)。我们知道，汇编语言其实就是机器指令的符号化，从某种程度上看，它只是更容易理解一点的机器指令而已。每一条汇编语句，在汇编时，都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中，我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为：指令＋数据。而反汇编的大致过程是：首先会确定指令开始的首地址，然后根据这个指令字判断是哪个汇编语句，然后再将后面的数据反汇编出来。由此，我们可以看到，在这一步的反汇编过程中存在漏洞：如果有人故意将错误的机器指令放在了错误的位置，那反汇编时，就有可能连同后面的数据一起错误地反汇编出来，这样，我们看到的就可能是一个错误的反汇编代码。这就是“花指令”，简而言之，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

先举个例子(记为A代码段)：

　jzlabel

　jnz label

　db thunkcode

label:

以上是一个相当简单的花指令块，其中thunkcode是由应用者自己随便写的机器指令字，当然，你写的这个机器指令字不能是单字节指令(比如nop, clr,等)，否则，你的花指字就相当于白加了。那么，你要如何来使用这段代码呢？

假设我们待加密的代码块如下(记为B代码段)：

　mov ax, 8

　xor ax, 77

　...

我们假设这B代码段是我们的加密算法所在的代码段，现在我们想要对B代码段进行保护，可以直接将A花指令块加到mov指令之前，形如：

　jzlabel

　jnz label

　db thunkcode

label:

　mov ax, 8

　xor ax, 77

　...

其中，对于thunkcode，在实际使用时，可以使用任何一个多字节指令的机器指令字来代替，这样就会欺骗反汇编软件将它连同后面的mov指令的前边某一部分反汇编成一个多字节指令。这样，我们的目的也就达到了。

由上可以看到，使用了花指令的地方，一般都会出现这样的现象：一个跳转指令，跳转到了某条语句的中间位置，而不是这条语句的开始位置。每当出现这种情况时，我们就可以断定，这里出现了花指令。

显然地，破解它的办法，就是在那个跳转到的目的地址之前将中间的代码全部nop掉。

当然，为了加强难度，我们可以将若干个花指令结合起来使用。比如：

　jzlabel

　jnz label

　db thunkcode

label:

　jzlabel2

　jnz label2

　db thunkcode

lable2

　mov ax, 8

　xor ax, 77

　...

也当然，针对这种情况的破解只要一层层解开它即可：我们可以先破解到以label为首字节的指令出现为止，然后再根据新的结果，破解到以label2为首字节的指令出现为止，虽然这样麻烦点，但还是不难的。

但是，如果把下面的这段代码再同其它花指令结合起来使用，可能就更复杂了：

　calllabel_1

　dbthunkcode

　jmplabel_2

　dbthunkcode

label_1:

　popeax

　jmplabel_3

　dbthunkcode,thunkcode,thunkcode

label_3:

　inceax

　jmp label_4

　dbthunkcode,thunkcode,thunkcode

label_4:

　jmpeax

　dbthunkcode

label_2:

　....

这里还有一段：

　call label_1

　db thunkcode,thunkcode

　jmp label_4

label_1:

　pop eax

　jmp label_2

　db thunkcode,thunkcode

label_2:

　add eax,2

　jmp label_3

　db thunkcode

label_3:

　push eax

　ret

　db thunkcode

label_4: ....

为了加强难度，尽可能地用call和push实现间接跳转，当然，矛矛盾盾，只是时间长点而已，世上没有绝对安全的系统。

加壳：其实是利用特殊的算法，对可执行文件里的资源进行压缩，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。附加在原程序上通过加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。

加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

加花：是在一些反汇编软件中加入一些花指令，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

去壳：顾名思义，就是对软件加壳的逆 *** 作，把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

扩展资料：  

加“壳”虽然增加了CPU负担，但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。

一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

加“壳”不等于木马，平时的绝大多数软件都加了自己的专用“壳”。

RAR和ZIP都是压缩软件，不是加“壳”工具，解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的。

---