本篇文章给大家谈谈花指令，令花以及花指令生成器对应的指令知识点，希望对各位有所帮助，生成不要忘了收藏本站喔。令花

花指令的花指令生成器

一、写花指令生成器必备知识

1、生成花指令原理

花指令是令花程序中的无用代码，程序对它没影响，指令少了它也能正常运行。生成加花指令后，令花杀毒软件对木马静态反汇编时，指令木马的生成代码就不会正常显示出来，加大杀毒软件的令花查杀难度。

2、指令如何写花指令

下面我们先看看一段花指令，生成分析理解它的原理：

PUSH EBP

MOV EBP,ESP

push edx

pop edx

inc ecx

dec ecx

add esp,21

add esp,-21

add esp,10

sub esp,10

JMP 附近空地址随便乱跳

JMP 原入口点

花指令一般有三部分，开头就是PUSH EBP和MOV EBP,ESP这两句在大部分程序开头可以经常看到。PUSH EBP是把EBP压入堆栈，MOV EBP,ESP是把ESP的值赋给EBP，不懂没关系，只要知道PUSH EBP和MOV EBP,ESP这两句经常出现在文件开头就可以了，随便用OllyDbg打开一个不加壳的文件载入后经常停在PUSH EBP MOV EBP,ESP。

接下来就是花指令啦，push edx是把通用寄存器EDX压入堆栈，pop edx是把通用寄存器EDX弹出堆栈，这两句和起来就相当于什么也没做。接下来的inc ecx，ecx用来保存计数值，也是寄存器，INC是加1；下面的dec ecx中的dec是减1，加1减1相抵消，又是什么也没做。add esp,21这是寄存器esp加21，add是加上，下面一句add esp,-21是寄存器esp加－21，小学知识，+21+（-21）=0，还是什么也没做。再下来add esp,10寄存器esp加21，sub esp,10寄存器esp减10，sub是减去。一个+10，一个-10相互抵消了。

最后是跳转语句，我用两句JMP，第一句在花指令附近随便跳到个空地址，第二个JMP是从空地址跳回文件的原入口点。

3、如何写入花指令

我们来看看加花指令的一般步骤：

1、准备好要加的花指令；

2、准备未加壳的黑客软件；

3、用OllyDbg打开这个黑客软件，记下入口点的内存地址；

4、找到零地址，一句一句写入花指令，再用JMP跳回程序入口点；（如果找不到空白地址，我们可以用zeroadd加区段，英文软件，我汉化好的，操作简单就不演示了。）

5、保存后用Peditor修改文件入口点为开始写花指令的地址。这样运行程序就先运行花指令再跳回程序的原始开头执行程序了；

6、检测程序是否正常运行和免杀效果。

什么叫花指令

花指令就是几句汇编指令，让汇编语句进行一些跳转。使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置。杀毒软件就找不到病毒了”

参考资料：

什么是特征码，壳，花指令？

我了解的也不多，把我自己的理解和你说说吧。所谓特征码，就是例如每个文件的MD5运算后得出的数值。用这数值对比官方公布的数值可以确认文件是否被别人修改。壳就是对执行程序进行伪装的，查看和该文件的时候会受到壳的影响，一般用于防止破解等。花指令是程序的内部循环跳转，让杀软找不到该程序的敏感字段。（可能描述会有错误，仅供参考）

花指令的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于花指令生成器、花指令的信息别忘了在本站进行查找喔。

Source: 齿轮