网上收集的花指令代码2.docVIP

网上收集的花指令代码2 网上收集的花指令代码2 push ebp nop nop nop mov ebp,esp inc ecx nop push edx nop nop pop edx nop nop pop ebp inc ecx loopd /跳转到原入口地址去！ cmp eax,ebx je L jne L L: push 原来入口 pop eax jmp eax mov cl,1 sub al,90 xchg eax,ebp dec ebp inc edx inc eax and ah,al adc dword ptr ds:[eax+6],6E and ch,byte ptr ds:[edx-1C] call 入口点 push ebp mov ebp,esp push ecx push ebx mov ebx,eax mov eax,ebx add al,9F sub al,1A jnb 入口点 push 新入口点 pop edx add ecx,1 sub ecx,-1 call 原入口点 call 原入口点 jnz 原入口点 push esp push push的本身地址　　这里是地址是　1314c37C pop edx add edx,-1 sub edx,1 call 原入口点 call 原入口点 jmp 原入口点 PUSH EBP MOV DWORD PTR FS:[0],EAX POP EAX POP EAX MOV DWORD PTR FS:[0],EAX POP EAX POP EAX MOV DWORD PTR FS:[0],EAX MOV EBP,ESP ADD ESP,-0C ADD ESP,0C MOV EAX,入口点 PUSH EAX MOV EBP,EAX PUSH EAX POP EAX RETN 55 64 A3 00 00 00 00 58 58 64 A3 00 00 00 00 58 58 64 A3 00 00 00 00 8B EC 83 C4 F4 83 C4 0C B8 2C 52 40 00 50 8B E8 50 58 C3 ----------------------------------------------------------------- 二次加花 push ebp mov ebp,esp jmp UPX 文件头前＝NOP ----------------------------------------------------------------- somewhere: nop /胡乱跳转的开始... jmp 下一个jmp的地址 /在附近随意跳这里可以直接跳到程序的OEP jmp ... /... jmp 原入口的地址 /跳到原始oep --- push ebp mov ebp,esp push -1 push 111111 push 222222 mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp add esp,-6C push ebx push esi push edi push ebp mov ebp,esp inc ecx push edx nop pop edx dec ecx pop ebp inc ecx loop 往上跳 nop jmp 入口点 新入口点加1 vmprotect转存 北斗2.3加壳 ----------------------------------------------------------------- eb 01 3次 nop jmp 入口 3 nop C4 PUSH EBP MOV EBP,ESP PUSH -1 PUSH 416698 0 PUSH 413D3C 0 MOV EAX,DWORD PTR FS:[0] PUSH EAX MOV DWORD PTR FS:[0],ESP SUB ESP,68 PUSH EBX PUSH ESI PUSH EDI XOR EBX,EBX PUSH 2 ADD ESP,0C POP EBX ADD ESP,68 POP DWORD PTR FS:[0] ADD ESP,0C POP EBP JMP 入口 55 8B EC 6A FF 68 98 66 41 00 68 3C 3D 41 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57