程序中使用花指令

1. 求高手帮做反调试花指令

一.花指令概念:花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡.二.写花指令的原则:写花指令的基本原则就是要保持堆栈的平衡. 写花指令细细品味下面一段比喻: 我们把一段花指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成加减
乘除,把寄存器或数据(eax,ebx,1等)比喻成
数字(1,2,3等),那么要保持花指令堆栈的平衡,等于保持这道数学题的结果是0 .三.解释一些指令含意push ebp ----把基址指针寄存器压入堆栈pop ebp ----把基址指针寄存器弹出堆栈push eax ----把数据寄存器压入堆栈pop eax ----把数据寄存器弹出堆栈
nop -----不执行
dd esp,1-----指针寄存器加1sub esp,1-----指针寄存器减1
inc ecx -----计数器加1dec ecx -----计数器减1
sub esp,1 ----指针寄存器加1sub esp,-1----指针寄存器加-1jmp 入口地址 ------跳到程序入口地址与它效果一样的还有(以下三个):push 入口地址retn
jb 入口地址jnb 入口地址
mov eax,入口地址jmp eaxjmp 入口地址----跳到程序入口地址push 入口地址---把入口地址压入堆栈retn ------ 反回到入口地址,效果与jmp 入口地址一样.mov eax,入口地址 ------把入口地址转送到数据寄存器中. jmp eax ----- 跳到程序入口地址 jb 入口地址jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址.四.免杀花指令编写手册:注:以后编写花指令,都可以参考本手册,灵活组合,快速写出自己的花指令.*******************************************************************
push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加move edi,edi ----效果与nop一样add esp,1 -------其中数字可以任意,注意以下面对应add esp,-1add esp,1 --------其中数字可以任意,注意以下面对应sub esp,1 inc ecxdec ecxsub eax, -2 ----------其中数字可任意,与inc的个数对应inc eaxinc eaxadd eax -2 ----------其中数字可任意,与inc的个数对应inc eaxinc eaxjmp 下一个jmp地址jmp 下一个地址push ebpmov ebp,esp -------可做为花指令的开头句jmp 入口地址 ------跳到程序入口地址与它效果一样的还有(以下三个):push 入口地址retnjb 入口地址jnb 入口地址mov eax,入口地址jmp eax

2. 花指令是什么意思，有什么用，主要做什么的

花指令是一些没用的代码,主要是用来防止软件被破解(如果是病毒程序就是为了防止被杀毒软件查杀),就像战士穿了迷彩服一样,难以察觉.

3. 花指令生成器生成出来的花指令是代码，那怎么样把这段代码添加到程序中呢

ODbydyk 是反汇编工具，你所说的那段代码就是用OD添加到程序中的，具体做法如下：
1 把你的.exe拖放到OD中，找到0区域（一般在最下面），右键点击某一行选择“汇编”，然后把你的花指令一句一句的写进去，最后选择你刚写完的指令——又键——“复制到可执行文件”，再又键——“保存”。 OK

4. 给文件加壳，加花，去壳，分别是什么意思

加壳：其实是利用特殊的算法，对可执行文件里的资源进行压缩，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。附加在原程序上通过加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。

加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

加花：是在一些反汇编软件中加入一些花指令，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

去壳：顾名思义，就是对软件加壳的逆操作，把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

(4)程序中使用花指令扩展阅读：

加“壳”虽然增加了CPU负担，但是减少了硬盘读写时间，实际应用时加“壳”以后程序运行速度更快（当然有的加“壳”以后会变慢，那是选择的加“壳”工具问题）。

一般软件都加“壳”这样不但可以保护自己的软件不被破解、修改还可以增加运行时启动速度。

加“壳”不等于木马，平时的绝大多数软件都加了自己的专用“壳”。

RAR和ZIP都是压缩软件，不是加“壳”工具，解压时是需要进行磁盘读写，“壳”的解压缩是直接在内存中进行的。

5. 花指令的花指令生成器

一、写花指令生成器必备知识
1、花指令原理
花指令是程序中的无用代码，程序对它没影响，少了它也能正常运行。加花指令后，杀毒软件对木马静态反汇编时，木马的代码就不会正常显示出来，加大杀毒软件的查杀难度。
2、如何写花指令
下面我们先看看一段花指令，分析理解它的原理：
PUSH EBP
MOV EBP,ESP
push edx
pop edx
inc ecx
dec ecx
add esp,21
add esp,-21
add esp,10
sub esp,10
JMP 附近空地址随便乱跳
JMP 原入口点
花指令一般有三部分，开头就是PUSH EBP和MOV EBP,ESP这两句在大部分程序开头可以经常看到。PUSH EBP是把EBP压入堆栈，MOV EBP,ESP是把ESP的值赋给EBP，不懂没关系，只要知道PUSH EBP和MOV EBP,ESP这两句经常出现在文件开头就可以了，随便用OllyDbg打开一个不加壳的文件载入后经常停在PUSH EBP MOV EBP,ESP。
接下来就是花指令啦，push edx是把通用寄存器EDX压入堆栈，pop edx是把通用寄存器EDX弹出堆栈，这两句和起来就相当于什么也没做。接下来的inc ecx，ecx用来保存计数值，也是寄存器，INC是加1；下面的dec ecx中的dec是减1，加1减1相抵消，又是什么也没做。add esp,21这是寄存器esp加21，add是加上，下面一句add esp,-21是寄存器esp加－21，小学知识，+21+（-21）=0，还是什么也没做。再下来add esp,10寄存器esp加21，sub esp,10寄存器esp减10，sub是减去。一个+10，一个-10相互抵消了。
最后是跳转语句，我用两句JMP，第一句在花指令附近随便跳到个空地址，第二个JMP是从空地址跳回文件的原入口点。
3、如何写入花指令
我们来看看加花指令的一般步骤：
1、准备好要加的花指令；
2、准备未加壳的黑客软件；
3、用OllyDbg打开这个黑客软件，记下入口点的内存地址；
4、找到零地址，一句一句写入花指令，再用JMP跳回程序入口点；（如果找不到空白地址，我们可以用zeroadd加区段，英文软件，我汉化好的，操作简单就不演示了。）
5、保存后用Peditor修改文件入口点为开始写花指令的地址。这样运行程序就先运行花指令再跳回程序的原始开头执行程序了；
6、检测程序是否正常运行和免杀效果。

6. 什么是特征码，壳，花指令

我了解的也不多，把我自己的理解和你说说吧。所谓特征码，就是例如每个文件的MD5运算后得出的数值。用这数值对比官方公布的数值可以确认文件是否被别人修改。壳就是对执行程序进行伪装的，查看和该文件的时候会受到壳的影响，一般用于防止破解等。花指令是程序的内部循环跳转，让杀软找不到该程序的敏感字段。（可能描述会有错误，仅供参考）

7. 花指令的介绍

花指令是，由设计者特别构思，希望使反汇编的时候出错，让破解者无法清楚正确地反汇编程序的内容，迷失方向。经典的是，目标位置是另一条指令的中间，这样在反汇编的时候便会出现混乱。花指令有可能利用各种指令：jmp, call, ret的一些堆栈技巧，位置运算，等等。

8. 特征码、花指令、壳的意义

特征码：
特征码常用来加密、共享软件注册。是硬盘的唯一标识，像你的身份证一样。另外一个概念硬盘序列号是随着格式化的过程建立的，可变的。这两个概念相近，有的文章中混淆，看的时候要结合上下文区
壳：
所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。
当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。
如何判断一个可执行文件是否被加了壳呢？有一个简单的方法（对中文软件效果较明显）。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。

有些加壳病毒可以被查出，但对于一些新病毒，可能不能查杀

9. 什么是加花,怎么加花花指令怎么用

什么是花指令？当然不是"flower code"，呵呵，实际上，把它按照“乱指令”来理解可能更贴切一些，它的真正英文名应该叫"thunkcode"吧(不确定，呵呵)。我们知道，汇编语言其实就是机器指令的符号化，从某种程度上看，它只是更容易理解一点的机器指令而已。每一条汇编语句，在汇编时，都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中，我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为：指令＋数据。而反汇编的大致过程是：首先会确定指令开始的首地址，然后根据这个指令字判断是哪个汇编语句，然后再将后面的数据反汇编出来。由此，我们可以看到，在这一步的反汇编过程中存在漏洞：如果有人故意将错误的机器指令放在了错误的位置，那反汇编时，就有可能连同后面的数据一起错误地反汇编出来，这样，我们看到的就可能是一个错误的反汇编代码。这就是“花指令”，简而言之，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

先举个例子(记为A代码段)：
jz label
jnz label
db thunkcode
label:

以上是一个相当简单的花指令块，其中thunkcode是由应用者自己随便写的机器指令字，当然，你写的这个机器指令字不能是单字节指令(比如nop, clr,等)，否则，你的花指字就相当于白加了。那么，你要如何来使用这段代码呢？

假设我们待加密的代码块如下(记为B代码段)：
mov ax, 8
xor ax, 77
...

我们假设这B代码段是我们的加密算法所在的代码段，现在我们想要对B代码段进行保护，可以直接将A花指令块加到mov指令之前，形如：
jz label
jnz label
db thunkcode
label:
mov ax, 8
xor ax, 77
...

其中，对于thunkcode，在实际使用时，可以使用任何一个多字节指令的机器指令字来代替，这样就会欺骗反汇编软件将它连同后面的mov指令的前边某一部分反汇编成一个多字节指令。这样，我们的目的也就达到了。

由上可以看到，使用了花指令的地方，一般都会出现这样的现象：一个跳转指令，跳转到了某条语句的中间位置，而不是这条语句的开始位置。每当出现这种情况时，我们就可以断定，这里出现了花指令。

显然地，破解它的办法，就是在那个跳转到的目的地址之前将中间的代码全部nop掉。

当然，为了加强难度，我们可以将若干个花指令结合起来使用。比如：
jz label
jnz label
db thunkcode
label:
jz label2
jnz label2
db thunkcode
lable2
mov ax, 8
xor ax, 77
...

也当然，针对这种情况的破解只要一层层解开它即可：我们可以先破解到以label为首字节的指令出现为止，然后再根据新的结果，破解到以label2为首字节的指令出现为止，虽然这样麻烦点，但还是不难的。

但是，如果把下面的这段代码再同其它花指令结合起来使用，可能就更复杂了：
call label_1
db thunkcode
jmp label_2
db thunkcode
label_1:
pop eax
jmp label_3
db thunkcode,thunkcode,thunkcode
label_3:
inc eax
jmp label_4
db thunkcode,thunkcode,thunkcode
label_4:
jmp eax
db thunkcode
label_2:
....

这里还有一段：
call label_1
db thunkcode,thunkcode
jmp label_4
label_1:
pop eax
jmp label_2
db thunkcode,thunkcode
label_2:
add eax,2
jmp label_3
db thunkcode
label_3:
push eax
ret
db thunkcode
label_4: ....

为了加强难度，尽可能地用call和push实现间接跳转，当然，矛矛盾盾，只是时间长点而已，世上没有绝对安全的系统。

10. 如何给木马加花指令 加壳 做免杀等

免杀，顾名思义就是说避免被杀毒软件查杀!
免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。
⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。
⒉内存免杀:修改特征码。
⒊行为免杀。
现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论，只对原理进行分析，毕竟这不是黑客教程)
加花
加花是病毒免杀的常用手段，加花原理就是通过添加加花指令(一些垃圾指令，类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解，不做解释)
特征码修改
加花以后一些杀毒软件就认不出来了，但有些比较强的杀毒软件，像卡巴斯基这类，可能还是会被杀，这时就要定位特征码修改了，要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，特别是复合特征码的定位，但复合特征码虽然增加了定位特征码的难度，但复合特征码也有它的弱点，因为定义复合特征码需要单个特征码几倍的病毒库，不方便用户的病毒库升级，所以除了特别流行的病毒，杀毒软件厂商并没有做太多的复合特征码。
定位了特征码之后就应该修改特征码了，主要方法有两种:直接修改法，跳转修改法。
直接修改法利用的是等效指令替换，或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码，可以直接修改大小写，大写替换小写，小写替换大写。
跳转修改发比较简单，主要原理是把有特征码的那段NOP掉，然后把NOP掉的那段语句写入空白的0000区，在通过JMP跳转连接起来，让杀毒软件找不到特征码，从而达到免杀的目的。
加壳
加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用。
脱壳当然就是去掉保护程序
想要加壳后能达到免杀的效果
那就要加最新的免杀壳!!!!
要采纳哈。