|
#2
ONEPROBLEM2010-05-18 22:39
|
花指令是指在代码中加入一段无用代码,改变正常代码的位置,用于干扰杀毒软件对病毒特征码的判定。先看未加入花指令的代码:
00403e5d push ebp
... mov ebp,esp
... push -1
... push ... 假设为病毒特征码
...
代码尾
加入花指令后的代码如下:
00403e5d jmp 00417600 替换了原代码中开头的三行代码
00403e62 push ... 假设为病毒特征码
...
代码尾
00417600 inc eax
00417601 dec eax
00417602 push ebp
... mov ebp,esp
... push -1
00417607 jmp 00403e62
可见在原代码尾部追加了6行代码,其中
00417600 inc eax
00417601 dec eax 即所谓的花指令,问题是它起作用了吗?没有它,病毒特征码在内存中的位置(00403e62)照样改变!它完全取决于jmp长短,很不解,请高手帮助!