花指令就是一段本可以不存在的指令,存在的唯一目的就是掩蓋程式中的一些東西。
程式正常執行時完全可以不需要的,人們可以加進去的一段**,或是刻意修改程式流程的一段**。
80x86指令系統大致刻意分為以下5個功能組:
這一小節主要通過例子演示通過反彙編新增功能。
實行以上幾步操作後,在程式執行前其實是先執行了我們所加入的**。
這裡也會涉及乙個知識點,stdcall,cdcel的知識
結合前面修改入口點的知識,這一小節的知識是從本書中【空白區域跳轉法】免殺方法延伸而來。在入口點跳轉的過程中新增了花指令做混淆。
常用的花指令組合
nop ; 空指令,無作用
pop 0 ;將0彈出堆疊
pop 0 ;將0彈出堆疊
push ebp ;將ebp壓入堆疊
pop ebp ;將ebp彈出堆疊
add esp,1 ;將esp加1
sub esp,1 ;將esp減1
add esp,1 ;將esp加1
add esp,-1 ;將esp加-1
sub esp,1 ;將esp減1
sub esp,-1 ;將esp減-1
inc ecx ;ecx加1
dec ecx ;ecx減1
sub eax,-2 ;將eax減去-2,其實也就是加上2
dec eax ;將eax的計數器減1
dec eax ;將eax的計數器減1
push ****** ;將入口位址壓入棧
retn ;再返回到入口位址
mov eax,****** ;將入口位址傳送到資料暫存器中
jmp eax ;跳到程式入口位址
當系統檢測到異常時,它馬上會將發生異常的程式掛起,並交由系統特定的除錯程式來處理,當程式執行流程已經轉移到系統上,而程式又執行起來。那麼就會使程式的執行流程產生更大的迷惑性。
push ******* ;位址*******壓入堆疊
mov eax,dword ptr fs:[0] ;fs[0]壓入堆疊,執行完成後,fs[0]指向棧頂
push eax
mov dword ptr fs:[0],esp ;構造1個err結構
nop
vxdcall 134543
黑客免殺攻防筆記
seh異常
系統安全管理
1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...
系統安全 Firewall
netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...
系統安全加固
系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...