加花工具寻找好的加花加壳工具

myccl总在同一个地方生成特征码

当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。

其中前一个比较方法古老，又分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒，内存查杀则是载入内存后再比对，第二个比较新，它利用的原理是某些特定的病毒会有某些特定的行为，来监测病毒。

免杀常用的工具： Ollydbg 调试器简称OD，动态追踪工具 peid 查壳工具 PEditor PE文件头编辑工具 CCL，伯乐，MYCCL 特征码定位器 oc 地址转换器 reloc 修改EP段地址工具 zeroadd 加区工具 Uedit32 十六进制编辑器 免杀方法 一.文件免杀 1.加花 2.修改文件特征码 3.加壳 4.修改加壳后的文件 二.内存免杀 修改特征码 三.行为免杀 加花 加花是文件免杀的常用手段，加花原理就是通过添加花指令（一些垃圾指令,类似加1减1之类废话）让杀毒软件检测不到特征码。

加花可以分为加区加花和去头加花。

一般加花工具使用加区加花，当然也是可以手工加的，就是先用zeroadd添加一个区段，然后在新加区段里写入花指令，然后跳转到原入口；去头加花,是先NOP（汇编里的空操作）掉程序的入口几行，然后找到下方0000区，写入NOP掉的代码和一些花指令，再通过JMP（汇编里的无条件跳转）跳到原入口。

举个例子说明一下去头加花： 图1 这是PcShare服务端入口处的一段代码，原入口地址是00403D7D，因为是演示我就用两句最简单的垃圾代码，花指令可以自己去找或者自己写 push eax;eax寄存器压入堆栈 pop eax;eax寄存器弹出堆栈 图2 先将入口两句用NOP填充，然后找到一段0000区记下新入口地址0040443C 图3 写入刚刚NOP掉的入口两句和花指令还有跳转到原入口的指令 图4 把修改好的代码保存，用PEditor把入口地址修改为新入口0040443C就完成了，代码执行时从新入口开始，先执行花指令然后跳转到原入口执行真正程序，很简单吧？其实花指令可以加在头后同样也可以加在头后，也就是可以先执行花指令，然后再是入口，免杀效果是不一样的！大家可以试一下。

加区加花很相似，主要是怕程序的0000区不足，先用工具新加一个区，在新区里写入花指令，其他的和去头加花一样，就不演示了。

/act/jcrm/mmly/20662.shtml 细的去这个地方去看图 加花以后一些杀毒软件就认不出了，但有些比较强悍的杀毒，比如司机大叔（卡巴斯基）可能还是能查出来，这时就要定位特征码然后修改了，要修改首先必须知道特征码在哪里，所以需要先定位特征码，这是个难点，特别是复合特征码的定位。

特征码定位 特征码定位主要有两种方法：第一 直接替换法；第二 二叉数法； 直接替换法是最早开始出现的一种特征码定位方法，按一定的字节数逐个替换原代码并保存，比如木马总共100字节，可以先把0-10个字节用0替换，保存，然后用杀毒软件扫描，不被查杀说明特征码已经被覆盖掉了，如果还被查杀则替换10-20字节，再保存，扫描……直到找出特征码。

替换法的优点是容易理解，速度快（对文件特征码而言），特征码定位工具伯乐以及CCL的手动方式就是利用的替换法原理，文件特征码定位经常使用的就是这种方法。

但是对于内存特征码的定位这种方法就不太实用了，每次替换以后都要载入内存再扫描，如果木马较大，替换生成的文件会非常多，每个都要载入内存花费太多时间，除此之外它还有一个非常大的局限性，就是只能确定只有一处特征码的情况（某种特定情况下的多特征码也是适用的，下面的第3种情况将有讲述），杀毒软件还有别的定位特征码的机制，比如有的杀毒的定义了a,b两处特征码（三处或者更多原理是一样的，为了讲解方便，以下均以两处为例），只要a,b有一个存在便报毒，只有加大替换范围直到两处同时被替换才不报毒，如果两处距离比较远，定义出的范围将非常粗糙，很明显直接替换法将不再合适，这时第二种方法就有用武之地了。

二叉数法使用的原理是一半一半定位，CCL的自动方式就是运用的这个原理。

将待检测段一分为二，分别替换并生成两个文件A和B，其中A是原文件后半部分被0替换后生成的，B是前半部分被0替换的，杀毒开始查杀生成文件（如果是内存特征码定位则先载入内存再扫描内存），有4种情况 (1)A存在，B被删：这种情况说明A文件中特征码已经被替换掉，因此将A的被替换部分一分为二，起始偏移为A的偏移，再进行检测； (2)A被删，B存在：这种情况说明B文件中特征码已经被替换掉，因此将B的被替换部分一分为二，起始偏移为B的偏移，再进行检测； (3)A存在，B存在：这种情况说明没法定位A和B中有没有特征码，因此分别对A和B再一分为二进行检测； (4)A被删，B被删：这种情况说明两个区段都存在特征码，因此分别对A和B再一分为二进行检测。

对A再分时会将原来的B区段填充为0，相当于去除B区段的影响，只考虑A；同理对B再分时会将原来的A区段内容填0，相当于去除A区段的影响，只考虑B。

第（1）（2）对应的是只有一处特征码的情况，比较容易理解； 第（3）对应的是定义了a，b两处特征码的情况，但是和前面提到的那种不同，杀毒软件为避免误判，定义了a,b两处特征码，要ab同时存在时才报毒，假设a，b分别存在于A，B中，a,b不同时存在，杀毒对A，B均不报警，接下来该如何判断呢？举个例子说明一下 木马原来是…a……b…，第一次替换以后A：…a…000000，B：000000…b…，现在ab不同时存在，A，B都不被杀，则分别对A，B再次一分为二，…a……b000，…a…000…，000……b…，…a000…b…，再次扫描就可以找到两处特征码的位置，如果还是不行，再继续分……直到全部找到；其实这种类型的多特征码直接替换也是可以定位的，甚至效果更好，按一定位数替换，然后扫描，只要替换了一个特征码就不再报毒，所以不报毒的便是特征码被覆盖的，不管有几处都可以定位出，而且修改时也只要修改任意一处就可以了。

第（4）种对应的情况也是杀毒定义了多处特征码，就是上面提到的那种情况，只要有一处符合就认定是病毒。

还是以a,b两处特征码为例，第一次替换后的结果同（3），两部分分开考虑，互不影响，相当于分解成两个单个特征码的情况，第二次替换后变成000000…b000，000000…000…，000…000000，…a000000000，依此类推，直到精确定位出所有特征码，如果有N处特征码就相当于分解成N个单特征码来定位，现在N一般小于等于3，这种情况定位出的所有特征码必须全部修改了才能免杀。

二叉数法是个很不错的思路，可以解决大部分的问题，但是不是无懈可击呢？回答是否定的！可恶的杀毒软件还有一个杀手锏，就是复合特征码，给我们定位特征码带来了很大的麻烦。

复合特征码的定位机制是，先定义出N个特征码，只要里面某些同时出现便认为是病毒。

举个简单例子说明一下：木马原来是…a1…b1…c1…a2…b2…c2…（a1,a2一样，加标号只是为了后面描述方便），只要abc同时出现就认为是病毒，这该如何定位呢？原理不是很难，也是利用替换再查杀的方法，先从后往前用0替换，替换精度假设为每次替换量增加1000字节，开始一直显示是病毒，直到替换到地址13140040（为叙述方便随便说的一个地址）时替换的字节达到15000个，即…a1…b1…00000000，两个c都被替换掉了，此时显示不是病毒，由此可知，特征码c1就在13140040后面1000字节内，减小替换字节数比如改为替换14900字节，即精度改为每次替换减小100字节，还是无毒则减为替换14800字节，不断重复……直到精确定位出c1的位置；如果改为从前往后替换，则可以定位出a2的位置；其他特征码的定位可以利用已经定位到的c1,a2，把其中一个用0替换了比如c1,从后往前就可以定位出c2,直到定位出所有特征码，其实原理并不复杂，但是要真正手动操作起来却是非常麻烦的，我们可以利用MYCCL，它用的原理与之类似，具体操作可以看MYCCL的操作帮助。

还有一种方法更科学，原理是一样，但是替换的字节数不是等量增加的，而是以2的n-1次方增加的，第一次替换1字节，第二次2字节，第三次4字节……减小时也按照这种规律，这种替换方法有点类似于二叉数法，可以更快定位出特征码的位置，我想这也是MYCCL在复合特征码定位方面应该改进的地方吧。

加花 加壳 加区——免杀的疑问

一 什么是壳： 　　计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务，大家就把这样的程序称为“壳”了。

从功能上抽象的讲，软件的壳和自然界中的壳相差无几。

无非是保护、隐蔽壳内的东西。

而从技术的角度出发，壳是一段执行于原始程序前的代码。

原始程序的代码在加壳的过程中可能被压缩、加密……。

当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。

软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。

　　作者编好软件后，编译成exe可执行文件。

有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

加壳就需要把程序搞的小一点，从而方便使用。

于是，需要用到一些软件，它们能将exe可执行文件压缩。

而在黑客界中“壳”则被用在保护病毒，给木马等软件加壳脱壳以躲避杀毒软件，给网民带来很多的麻烦。

　　二 病毒加壳： 　　在好莱坞间谍电影里，那些特工们往往以神奇莫测的化妆来欺骗别人，甚至变换成另一个身份，国内对于这种伪装行为有个通俗的说法——“穿马甲”。

而这种正与邪的争斗已经延伸到了病毒领域，很多病毒作者通过给病毒“穿马甲”、甚至穿多个“马甲”的方式，躲避杀毒软件的查杀，这种技术就是“加壳”。

病毒作者可以通过给老病毒加壳，大批量制造出杀毒软件无法识别的新病毒。

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。

一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。

一般情况下，加壳程序和未加壳程序的运行结果是一样的。

　　既然加壳后的病毒不易被发现，那么如何判断一个可执行文件是否被加了壳呢？ 　　有一个简单的方法（对中文软件效果较明显）。

用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。

我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。

目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。

　　病毒加壳的原理很简单，现在黑客营中提供的多数病毒中，很多都是经过处理的，而这些处理就是所谓的加壳。

我们知道当一个普通的EXE程序生成好后，很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改，但如果程序员给EXE程序加一个壳的话，那么至少这个加了壳的EXE程序就不是那么好修改了，如果想修改就必须先脱壳。

病毒加壳后也是同样的道理，我们也必须先为病毒脱壳。

加壳脱壳加花有什么不同?

壳，脱壳，加壳 在自然界中，我想大家对壳这东西应该都不会陌生了，由上述故事，我们也可见一斑。

自然界中植物用它来保护种子，动物用它来保护身体等等。

同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。

它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。

由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。

就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

从功能上抽象，软件的壳和自然界中的壳相差无几。

无非是保护、隐蔽壳内的东西。

而从技术的角度出发，壳是一段执行于原始程序前的代码。

原始程序的代码在加壳的过程中可能被压缩、加密……。

当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。

软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。

关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

（一）.壳的概念 作者编好软件后,编译成exe可执行文件。

1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2.需要把程序搞的小一点,从而方便使用。

于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能,这些软件称为加壳软件。

（二）.加壳软件最常见的加壳软件ASPACK ,UPX,pact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE （三）.侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。

1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版（专门检测加壳类型） 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC) （四）脱壳软件。

软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。

目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。

软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。

现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。

而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。

另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。

在这里介绍的是一些通用的方法和工具，希望对大家有帮助。

我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。

下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。

脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。

我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。

因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。

常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、dump工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V1.1-V1.2有效)，Rad(只对ASPr V1.1有效),loader,peid (1)Aspack: 用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack: 次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。

(3)Upx: 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 (4)Armadill: 可以用SOFTICE+ICEDUMP脱壳，比较烦 (5)Dbpe: 国内比较好的加密软件，新版本暂时不能脱，但可以破解 (6)NeoLite: 可以用自己来脱壳 (7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 (8)pat: 用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 (9)Petite: 有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识 (10)WWpack32: 和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procdump32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。

另外很多时候我们要用到exe可执行文件编辑软件ultraedit。

我们可以下载它的汉化注册版本,它的注册机可从网上搜到。

ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握例如,可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补

编程里面的“加花”的具体含义是什么？

英文是junk code，意思是让程序变得花花的 当然，不是那个花 加花是有目的的 最常用的是加花病毒，杀软就无法通过特征码识别病毒并查杀 给你举个最简单的例子吧 程序中的一个数据本来是2 加花就成了2+1-1+1-1 其值还是2，但是杀软只认识2，不认识2+1-1+1+1 于是不会拦截这个病毒 还有就是让别人在对程序反汇编的时候晕掉，迷失思路，从而保护你的成果 明白了吧

寻找好的加花加壳工具

免杀加壳加花指令工具 软件大小：62 K 软件语言：简体中文 软件类型： 免费版 / 免杀工具 运行环境：Win9x/NT/2000/XP/2003 添加时间：2009-11-4 9:37:34 软件评级：★★★ 版权： 录入人：xiaodao 软件下载地址: 收藏到: QQ 百度 雅虎 GG

/Soft/11130.html