设为首页收藏本站
开启辅助访问 账号注册教程邀请码点此注册账号投放广告切换到宽版

挂海论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
 友情提示:文字/图片广告均非网站意见,请担保交易勿直接付款,由此产生的责任自负
挂海论坛»挂海论坛 其他编程论坛 .NET/Java/Web 编程乐园 等价替换汇编指令大集合
玩游戏来117游戏网(H5不下载也能玩手游传奇,吃鸡,竞技都有)不懂社区·好资源不错过·各位资源站大佬欢迎来采集搬运IOS签名/udid证书出售/送证书加群1040456405 ██【我要租此广告位】██
... .
返回列表 发新帖
查看: 5818|回复: 2
打印 上一主题 下一主题

[分享] 等价替换汇编指令大集合

[复制链接]
troya
3正式会员
136/300

136

积分

48

主题

3

听众
已帮网友解决0 个问题
好评
0
贡献
88
海币
514
交易币
0
跳转到指定楼层
楼主
发表于 2015-2-8 18:32:25 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提醒:若下载的软件是收费的"请不要付款",可能是骗子,请立即联系本站举报,执意要付款被骗后本站概不负责。(任何交易请走第三方中介,请勿直接付款交易以免被骗!切记).

友情提示:文字/图片广告均非本站意见,请担保交易勿直接付款,由此产生的责任自负!!!↑↑

等价替换汇编指令大集合



虽然特征码免杀时代 已经过时N久 ,  但熟悉掌握这些指令 ,还是很有必要的


ps:本资源收集自互联网
============================================================================
A开头
============================================================================
add   改adc
ADD   改ADC
ADD 1 改 sub -1
add dword ptr ss:[ebp-130],edx ---------adc dword ptr ss:[ebp-130],edx  
ADD [EAX],CH----------------------------ADD [EAX],DH
ADD [EAX],BH 0038 ----------------------ADD [EAX+40],AL 0040 40  
ADD [EAX+EAX*2+46],AL ------------------ADD [EAX+EAX*2+46],CL  
ADD [EAX+40],DL 0050 40 ----------------0058 40 ADD [EAX+40],DL
ADD AH,CH 00EC -------------------------00F4 ADD AH,DH
add dword ptr ss:[ebp-130],edx -------- adc dword ptr ss:[ebp-130],edx
C开头
============================================================================
CMP   改SUB
call 复件_(4).004XF607 ----------------- push 复件_(4).004XF607
CMP DWORD PTR DS:[100170A4],0 -------------sub DWORD PTR DS:[100170A4],0
CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP  
方法2--看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR  
方法3--看附近jnz跳转该下跳转的地址/可免杀不/  
CALL EAX                         |CALL EBX  
比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令  
就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP  
不进行CMP比效  
CMP ESI,1  
JNZ SHORT VVV.1000D793  
============================================================================
D开头
============================================================================
DAA 组合的十进制加法调整指令 --------DAS   减法的十进制调整.
===========================================================================
J开头
===========================================================================
JE       改      JNB
JNZ      改      JNL
jnz      改      JB
JE       改      JNA
je       改      jb
jnz      改      jg
js       改      jp
je       改      jle
jnz      改      jle
je       改      jge
JE       改      jnz  
JE       改      JB
JNS      改      POP ECX
JNS      改      jnc-jnb  
JNB      改      JGE
jnb short fsg2_0.0040015D----------------ja short fsg2_0.0040015D
JMP     NEAR [1071c]---------------------JMP     NEAR [1071B]  
jnz--je-jmp修改中要看下跳的地址是不是很重要说明[1]  
JNZ 00874E85--MOV EAX,88B6D0 可以是该成JE 00874E85--MOV EAX,88B6D0
===========================================================================
L开头
===========================================================================
LEA EBP,[ESP+10]     改    LEA EBP,[ESP+10]   
==========================================================================
M开头
===========================================================================
MOVSX                            改      MOVZX
MOV EBP,ESP                      改      AND AH,CH  
MOV [EBP-18],ESP                 改      MOV [EBP-18],AH  
MOV EAX,[ESP+10]                 改      MOV EAX,[ESP+10]        
MOV [ESP+10],EBP                 改      MOV [ESP+10],EBP   
mov [ebp-256], eax               改      adc [ebp-226], eax
MOV EDI,[EBP+10]                 改      MOV     EDI,[EBP+11]  
MOV EBX,DWORD PTR DS:[ESI]       改      XOR EBX,DWORD PTR DS:[ESI]  
MOV EBP,ESP--------AND AH,CH  
MOV EBX,DWORD PTR DS:[ESI]---------XOR EBX,DWORD PTR DS:[ESI]  
==========================================================================
===========================================================================
P开头
===========================================================================
push   改call
PUSH EBX PUSH EDI  
PUSH ESI PUSH EAX  
PUSH EDI PUSH ESI
PUSH EAX PUSH EBX  
===========================================================================
S开头
===========================================================================
sbb 改adc
sub 改mov
SHL 改 SAL
SAR 改 SHR
sub ebp,7---------- add ebp,-7
sub ebx,eax----------sbb esi,ecx  
SBB ECX,DWORD PTR DS:[ESI+2]----------ADC ECX,DWORD PTR DS:[ESI+2]  
PUSH    EAX          改        PUSH    EBX     
SUB     ESP,EAX      改        SUB     ESP,EAX   
PUSH    EBX          改        PUSH    EDI              
PUSH    ESI          改        PUSH    EAX                  
PUSH    EDI          改        PUSH    ESI  
sub ebx,eax----------sbb esi,ecx
==========================================================================
T开头
===========================================================================
TEST ESI,ESI-------改------- AND     ESI,ESI  
===========================================================================
X开头
===========================================================================
xor 改sub
XOR     [EAX],AL-------改--------MOV     [EAX],AL
XOR EAX,EAX-----改-------OR EAX,EAX
===========================================================================
其他
--------------------------------------------------  
修改jd改为JG还可以看下JB一般都是2个字节,2进制看下  
ascll吗,基本上还可以修改大小的,还有的是看下跳转  
jb-------------jg  
-----------------------------------------------  
CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP  
方法2--看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR  
方法3--看附近jnz跳转该下跳转的地址/可免杀不/  
JNZ 00874E85---PUSH DWORD PTR DS:[88F658]  
PUSH下面MOV ECX,88C0AC就可以JNZ该到MOV连接  
------------------------------------------------------------
-----------------------------------------------------------  
005E 01 ADD BYTE PTR DS:[ESI+1],BL 修改方法  
006E 01 ADD BYTE PTR DS:[ESI+1],CH 这样的成功机会不大看运气  
------------------------------------------------------------  
修改这样的命令要看下 1071C的地址,有没有,可以修改的  
本身怎个命令是不可以修改的  
JMP DWORD PTR DS:[1071C]----DS:[1071b]  
还可以看下上下有没有空的代码来换下位置  
------------------------------------------------------------  
看下面的命令 观察上下的指令来修改|  
CALL EAX                         |CALL EBX  
MOV DWORD PTR SS:[EBP-1C],EAX    |MOV DWORD PTR SS:[EBP-1C],EBX  
---------------------------------------------------------------  
比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令  
就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP  
不进行CMP比效  
CMP ESI,1  
JNZ SHORT VVV.1000D793  
---------------------------------------------------------------  
看下MOV数据传送指令 很明白就是将ESI给ESP+14  
那看下JE跳下去的指令XOR AL,AL没有用可以NOP掉  
MOV [ESP+14],ESI  
JE 1000A74B 跳转去下个指令XOR AL,AL  
修改成  
MOV ESP,ESI  
ADD ESP,14  
----------------------------------------------------------------  
LEA有效地址传送指令,遇到这样的指令不要该他可能会不能运行  
LEA ECX,[ESP+10]  
修改思路可以看下,上面的指令,如下  
MOV EAX,DWORD PTR DS:[EBX]  
CMP EAX,-1  
JE 100017E9 到达的就是LEA ECX,[ESP+10]  
上面可以看出是一系列的比对指令,最后LEA地址传  
可以把MOV CMP JE 三个比对NOP掉在把LEA写到MOV CMP JE地址上,在用  
JMP跳到下个指令运行  
----------------------------------------------------------------  
                 修改大小写在汇编里的变化  
------------------------------------------------------------  
INS BYTE PTR ES:[EDI],DX 小<l>------------------DEC ESP大<L>  
PREFIX ADDRSIZE: 小<g> ----------------INC EDI 大<G>
=================================================================  
XCHG EAX,ESP -----------PUSHFD  
数据交换指令 XCHG       标志传送指令 PUSHF

联系我时,请说是在 挂海论坛 上看到的,谢谢!



上一篇:特征码修改技术总结
下一篇:教你如何编写 OD 插件 (附VC++例子一个)
免责声明:
1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。一切关于该内容及资源商业行为与www.52ghai.com无关。

2、本站提供的一切资源内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。

3、本站信息来自第三方用户,非本站自制,版权归原作者享有,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

4、如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵犯你版权的,请邮件与我们联系删除(邮箱:xhzlw@foxmail.com),本站将立即改正。

回复

使用道具 举报

Hacker
3正式会员
112/300

112

积分

50

主题

3

听众
已帮网友解决0 个问题
好评
0
贡献
62
海币
1667
交易币
0
沙发
发表于 2015-3-23 08:53:03 | 只看该作者
楼主呀,,,您太有才了。。。
回复 支持 反对

使用道具 举报

刻骨゛铭X1n╮

2

积分

1

主题

2

听众
已帮网友解决0 个问题
好评
0
贡献
1
海币
912
交易币
0
板凳
发表于 2015-5-3 11:49:42 | 只看该作者
顶,楼主v5
回复 支持 反对

使用道具 举报

返回列表 发新帖
  高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明|Archiver|手机版|小黑屋|挂海论坛

GMT+8, 2025-4-5 02:12 , Processed in 0.081477 second(s), 32 queries , Gzip On.

Powered by Discuz! X3.2

本站资源来自互联网用户收集发布,如有侵权请邮件与我们联系处理。xhzlw@foxmail.com

快速回复 返回顶部 返回列表