加花指令之一键加花(添加器)

加花指令之一键加花(添加器)是一款免杀花指令生成器(不错的免杀工具)，对免杀的影响是非常大的，有效地利用花指令可以使免杀工作事半功倍，甚至单凭花指令就可以达到免杀的效果。

软件说明

用于制作免杀的给力的工具。使用该软件可以进行软件的UPX加壳、E语言免杀、添加花指令。

花指令说明

花指令的名称可以使中文或者英文，花指令内容必须是连续的16进制码，不能有空格，花指令内容大小应小于255字节。

汇编语言其实就是机器指令的符号化，从某种程度上看，它只是更容易理解一点的机器指令而已。每一条汇编语句，在汇编时，都会根据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中，我们通过VC的IDE或其它如OD等反汇编、反编译软件也可以将一个二进制程序反汇编成汇编代码。机器的一般格式为：指令＋数据。而反汇编的大致过程是：首先会确定指令开始的首地址，然后根据这个指令字判断是哪个汇编语句，然后再将后面的数据反汇编出来。由此，我们可以看到，在这一步的反汇编过程中存在漏洞：如果有人故意将错误的机器指令放在了错误的位置，那反汇编时，就有可能连同后面的数据一起错误地反汇编出来，这样，我们看到的就可能是一个错误的反汇编代码。这就是“花指令”，简而言之，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

加花方法

1.直接加花

记住入口点---找零区域---NOP填充---记住新入口点---编写花指令跳转回原入口点---保存文件--- lordPE修改新入口点

2.去头加花

首先我们配置一个无壳的服务端，然后用OD载入后记下从入口点地址开始往下选择几处然后复制，再NOP掉，然后找到空白区域，写一些比如跳转的花指令代码后再把NOP掉的写上，再跳转回刚刚NOP掉的入口点下面的代码地址。

3.加多重花

首先我们配置一个无壳的服务端，然后用OD载入后记下入口点地址然后找到几处空白地址，当然这个大家可以找多处。我这里提供的是给大家一个思路，我就找了2处空白地址。然后我们首先记下第一处空白地址。这个我们记下是新的空白地址，然后第2处空白地址我们记下为跳转2 。最后我们跳到入口点。然后用lordPE修改入口点，至此一个加多重花的服务端就完成了。简单明了就是经过多处零区域的跳转。

4.加区加花

首先通过加区段工具给无壳的服务端加一个区段。区段名子随便填写，比如hacker，大小一般填写在50-200 就好了。然后我们用LORDPE打开首先记下入口点。然后选择区段记下新添加的HACKER区段的入口点。因为我们要写花指令，所以我们在入口点设置为HACKER区段的比入口点稍微大点的地址。然后我们在写花指令。通常找不到零区域的时候就可以加区段。

实际物理地址（OD载入的入口点）= 内存地址（0000F000）+镜象基址（RVA）

5.壳中加花

用加壳工具（如ASPACK壳）给服务端先加一层壳，然后在加花指令。事先记好入口点

7.壳中加区加花

加壳---加区段---加花指令 综合了以上所有方法。