免杀修改特征码需要掌握的汇编知识

!|OVp({NrM0一.机械码，又称机器码★黑基空间★Tc:[ LF9ymE@v8t

i ^Y+c:b+qyq0Ultraedit打开，编辑exe文件时你会看到许许多多的由0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F组成的数码，这些数码就是机器码。修改程序时必须通过修改机器码来修改exe文件。

%uG]H+EN0二.需要熟练掌握的全部汇编知识

不大容易理解，可先强行背住，混个脸儿熟，以后慢慢的就理解了。

cmp a,b 比较a与b。

mov a,b 把b的值送给a。★黑基空间★jYI)I~j

ret 返回主程序。

nop 无作用，英文“no operation”的简写，意思是“do nothing”(机器码90)***机器码的含义参看上面。★黑基空间★7D6K(Ke1Y+]}
f:q

,Q3T
S
Bq3sSU
H0(解释：ultraedit打开编辑exe文件时你看到90，等同于汇编语句nop)★黑基空间★&V"? SV,Yf D#w

call 调用子程序。

K|eqH0je 或jz 若相等则跳(机器码74 或0F84)。★黑基空间★(r[!C"sn

jne或jnz 若不相等则跳(机器码75或0F85)。

jmp 无条件跳(机器码EB)。★黑基空间★c$H~2c'a] C

jb 若小于则跳。★黑基空间★rxUj:uvG

AnW2SZI&B9r2S0ja 若大于则跳。★黑基空间★;T1VM4kw[#R

}#A@o'y E-N)ma0jg 若大于则跳。

0L
?;F;P;pL#[0jge 若大于等于则跳。★黑基空间★~%QV6xI*nY

jl 若小于则跳。★黑基空间★SP(sb2}"D%z

/I?b#[g0jle 若小于等于则跳。

'G$b8i9U1{b;w[}?\0pop 出栈。★黑基空间★3q~Q:B6?(ll

push 压栈。

三.常见修改(机器码)★黑基空间★(wi$dE{}c

★黑基空间★mbZr`*S
74=>75 74=>90 74=>EB★黑基空间★:j#WxG5H
75=>74 75=>90 75=>EB★黑基空间★;{9uO%S#E[~(_D

S@o6E+c(v0jnz->nop★黑基空间★'\P
KN*@BpI9A
75->90(相应的机器码修改)

jnz -> jmp★黑基空间★0]T}o ?z$?m'm{jt
75 -> EB(相应的机器码修改)

jnz -> jz★黑基空间★ze9L#N F(}z+XF
75->74 (正常) 0F 85 -> 0F 84(特殊情况下，有时，相应的机器码修改)
b%k1w5lQ
j0 

|`*_`!?!yr`0四.两种不同情况的不同修改方法

({ OV8ns01.修改为Jmp★黑基空间★]G f'V7S TT+q)q*e}
v

n9l_$}$bH/Q [0je(jne,jz,jnz) =>jmp相应的机器码EB(出错信息向上找到的第一个跳转)jmp的作用是绝对跳，无条件跳，从而跳过下面的出错信息：★黑基空间★0y1pu{9~:f C

,I,o/E1wmQrXG+h0
1v,e#U:G,V"?@0xxxxxxxxxxxx 出错信息，例如：注册码不对，sorry，未注册版不★黑基空间★sII _a~E
能...，"Function Not Avaible in Demo" 或 "Command Not Avaible" 或 "Can't save in★黑基空间★4[V'}@Lh
Shareware/Demo"等 (我们希望把它跳过，不让它出现)★黑基空间★\(|xr/z4c
...
*C3Z
Rnik0O0...★黑基空间★8iZLU*\qJ9s#P
xxxxxxxxxxxx 正确路线所在★黑基空间★,Aw8_ z&sW
 ★黑基空间★1ajrx*Jnkl

B2HT%t+K02.修改为Nop

je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转，使这个跳转无效，失去作用，从而使程序顺利来到紧跟其后的正确信息处：★黑基空间★F&@K7T X8U:h+W6s%t

★黑基空间★M0Hv6Kb0AA2F
xxxxxxxxxxxx 正确信息，例如：注册成功，谢谢您的支持等(我们希望它不被跳★黑基空间★9pBw2sl)|
过，让它出现，程序一定要顺利来到这里)
_)o1v+fV0...
["r8E2s]'t4R,I0...★黑基空间★@2~5Ua(d%O
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里，不让它出现)它们在存贮器和寄存器、寄存器和输入★黑基空间★*qD!j4j.M1{1b3J"m
输出端口之间传送数据。
N5Wb}&[$~wE)V1S#{0 ★黑基空间★7v-nuN,f4ut1V%g,G.^a

1. 通用数据传送指令

MOV 传送字或字节。

$Y*ER9g Y${/?E0MOVSX 先符号扩展，再传送。★黑基空间★3~y-e5LDs@

MOVZX 先零扩展，再传送。★黑基空间★R7Y`#GC1T(i

PUSH 把字压入堆栈。★黑基空间★2AN%[z Z+Rr!Ep

%B kj1xcI&?y;~p0POP 把字弹出堆栈。

\,k#_t)pg8@2i.U B0PUSHA 把AX、CX、DX、BX、SP、BP、SI、DI依次压入堆栈。★黑基空间★)YT]C"t,@o

POPA 把DI、SI、BP、SP、BX、DX、CX、AX依次弹出堆栈。★黑基空间★ `N:C@
`F.[9z2h

PUSHAD 把EAX、ECX、EDX、EBX、ESP、EBP、ESI、EDI依次压入堆栈。★黑基空间★4R"mr7EII

c}3d q3u9n$~;| g6o0POPAD 把EDI、ESI、EBP、ESP、EBX、EDX、ECX、EAX依次弹出堆栈。

BSWAP 交换32位寄存器里字节的顺序。

J
j&E2w?0XCHG 交换字或字节( 至少有一个操作数为寄存器、段寄存器不可作为操作数)。

#?oh8B(B7g?0CMPXCHG 比较并交换操作数(第二个操作数必须为累加器AL/AX/EAX)。★黑基空间★Y'Q'R%|Ak

XADD 先交换再累加(结果在第一个操作数里)。

U l/X/RPe]0XLAT 字节查表转换。★黑基空间★"P
Sd-e b@KA

── BX 指向一张 256 字节的表的起点，AL为表的索引值(0-255，即0-FFH); 返回AL为查表结果。([BX+AL]->AL)

fq @'I+s.ZcW"U02. 输入输出端口传送指令

IN I/O端口输入。(语法：IN 累加器, {端口号│DX})★黑基空间★8r:RRG tB

G"R7~0Z*T#}0OUT I/O端口输出。(语法：OUT {端口号│DX},累加器)★黑基空间★M(D J fz

输入输出端口由立即方式指定时，其范围是0-255; 由寄存器DX指定时，其范围是0-65535。

H-a Q?7v6rE)H03. 目的地址传送指令★黑基空间★h9IcIT
f'[$w

LEA 装入有效地址。★黑基空间★Ak1Nvvx+y!I6c

p0H8Ne|$q0例： LEA DX,string；把偏移地址存到DX。★黑基空间★_1teyA;i

HC.eu
FuU,uM0LDS 传送目标指针，把指针内容装入DS。

P&n"DjF0例： LDS SI,string；把段地址：偏移地址存到DS:SI。★黑基空间★TSR^9UN td;w

LES 传送目标指针，把指针内容装入ES。★黑基空间★ZU~pKJ@ }P?

7iA(W%B"U0例： LES DI,string；把段地址：偏移地址存到ESI。★黑基空间★C'{Qj9G\-E#t1R

gI}}p wS,n9~ya0LFS 传送目标指针，把指针内容装入FS。

例： LFS DI,string；把段地址：偏移地址存到FSI。

LGS 传送目标指针，把指针内容装入GS。

7U9A;s6c%q
P0例： LGS DI,string；把段地址：偏移地址存到GSI。★黑基空间★'VUC#d^jXI

LSS 传送目标指针，把指针内容装入SS。

例： LSS DI,string；把段地址：偏移地址存到SSI。

n+P[2I7F6D04. 标志传送指令★黑基空间★1R#n&W#sy

LAHF 标志寄存器传送，把标志装入AH。★黑基空间★ h2f h\d1t

9yU \g\k0SAHF 标志寄存器传送,把AH内容装入标志寄存器。★黑基空间★
c0c4L
TD.~
c4G/K|

PUSHF 标志入栈。

B-W9MRqz0POPF 标志出栈。★黑基空间★+H0[#Q pnR$D

Z@!p1B'W0PUSHD 32位标志入栈。

TN
hqe;Ii0POPD 32位标志出栈。

8g1qe#\7k0二、算术运算指令★黑基空间★*oZ w
v~A,a|

sCeIk0gz-j0ADD 加法。

7^ k^1eeI'o0ADC 带进位加法。★黑基空间★2nTZMaoa
Z2K

INC 加 1。★黑基空间★gjP5j~nl F

8V7X;i W:^uB0AAA 加法的ASCII码调整。

Fu[8`{0DAA 加法的十进制调整。★黑基空间★8I5S3`"U:Xj"o_

SUB 减法。

SBB 带借位减法。★黑基空间★(f4i-F{7uv IJ

DEC 减 1。★黑基空间★ lbqNTJ6_!E

NEC 求反(以0减之)。★黑基空间★q[@s;C4qi,q

`$ee,R_)P0CMP 比较。(两操作数作减法，仅修改标志位，不回送结果)。

2h;E]
|f u$`0AAS 减法的ASCII码调整。

DAS 减法的十进制调整。

PXHe+u ]Ro/@}7UU0MUL 无符号乘法。

IMUL 整数乘法。★黑基空间★+J;lS%^l,A
i

以上两条，结果回送AH和AL(字节运算)，或DX和AX(字运算)，★黑基空间★3k~)T3I$xt3F Io

-bet&[6xY*X2Q0AAM 乘法的ASCII码调整。★黑基空间★L,Sz%YFDF

6F&P
U4RMSG0DIV 无符号除法。

IDIV 整数除法。

b2HDii#t)b)w0以上两条，结果回送：★黑基空间★(o&u$V0k.~~ac"b~a~~

7~ Uj2xG0商回送AL，余数回送AH，(字节运算);

;E!Vb@Y?j0或 商回送AX，余数回送DX，(字运算)。

HV,V5Bju0AAD 除法的ASCII码调整。★黑基空间★2O8SD%R O[

6z`d$Y$}TOma0CBW 字节转换为字。(把AL中字节的符号扩展到AH中去)★黑基空间★ Fw@F\i%q

CWD 字转换为双字。(把AX中的字的符号扩展到DX中去)

xD;J p1m"u%_I0CWDE 字转换为双字。(把AX中的字符号扩展到EAX中去)

d+N k'{%RnDl0a0CDQ 双字扩展。(把EAX中的字的符号扩展到EDX中去)

三、逻辑运算指令

AND 与运算。

OR 或运算。★黑基空间★5a*o+|X'h \e;J

XOR 异或运算。★黑基空间★P*C?Iw^C

R7~W]LP5`M#h$Y0NOT 取反。★黑基空间★ N*Fk_9@L

in-w.}}0]cfh0TEST 测试。(两操作数作与运算，仅修改标志位，不回送结果)。

SHL 逻辑左移。

2U.G S/oX
fV0SAL 算术左移。(=SHL)

`eN3f(K _D`BHa0SHR 逻辑右移。

4QcE4|;P(wH%Y#l5d0SAR 算术右移。(=SHR)

n.Y?&{?/b0ROL 循环左移。

ROR 循环右移。★黑基空间★?PF5b5_$y%q

RCL 通过进位的循环左移。

z(`4M%{Q+nz0RCR 通过进位的循环右移。

BS/plm$R.L]0_u T0以上八种移位指令，其移位次数可达255次。★黑基空间★+s(B,ft e/XH`D

!W;U$k"Z"}0移位一次时，可直接用操作码。如 SHL AX,1。★黑基空间★Kc P7rjM4Te

ddw@ b)L*N6j0移位>1次时，则由寄存器CL给出移位次数。

如 MOV CL,04★黑基空间★j n;pB.Y

SHL AX,CL

n6v3od7kr0四、串指令★黑基空间★-e3{2ee5x2H2Q(Zx

DS:SI 源串段寄存器：源串变址。★黑基空间★*d(zj"\}(D!M

ESI 目标串段寄存器：目标串变址。★黑基空间★#a&K9vp4hS\{Hv$]

CX 重复次数计数器。

AL/AX 扫描值。

C6U;Qcl.\X0D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量。

Z标志 用来控制扫描或比较操作的结束。★黑基空间★:y;u8f3T4dK/}hL0{n

3Q!KNQ:kN0MOVS 串传送。★黑基空间★-z,U\U(K`fuG
SO

(MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字.)★黑基空间★m[X,oW

CMPS 串比较。★黑基空间★6m%[f I`

)raf9k Yl?J&D0(CMPSB 比较字符. CMPSW 比较字.)★黑基空间★ C'Pp'g*HB7PNjN

SCAS 串扫描。

把AL或AX的内容与目标串作比较，比较结果反映在标志位。

LODS 装入串。★黑基空间★5h-u{"O I.hJ

8Qe/Pt(L9`0把源串中的元素(字或字节)逐一装入AL或AX中。★黑基空间★I9}:|^6KEd9Y

(LODSB 传送字符. LODSW 传送字. LODSD 传送双字.)

;l4Dn_$mYoi8oCs0STOS 保存串。

4Aj0U;dGe8_0是LODS的逆过程。

REP 当CX/ECX<>0时重复。

REPE/REPZ 当ZF=1或比较结果相等，且CX/ECX<>0时重复。★黑基空间★-d9_X(DV

0ch%y g{ o \!Bul9c2D0REPNE/REPNZ 当ZF=0或比较结果不相等，且CX/ECX<>0时重复。

'_0j2^/~Acgjk3_c0REPC 当CF=1且CX/ECX<>0时重复。

REPNC 当CF=0且CX/ECX<>0时重复。★黑基空间★-d*r yf:l+f4O-|s,{

五、程序转移指令

r_fkd]+hE01>无条件转移指令 (长转移)

JMP 无条件转移指令

CALL 过程调用

,AH-V)HJtW9Nh0RET/RETF过程返回。

2>条件转移指令 (短转移，-128到+127的距离内)★黑基空间★BN-[MB:ZH

(当且仅当(SF XOR OF)=1时,OP1JA/JNBE 不小于或不等于时转移。★黑基空间★$r*b(O^KV

q @!gD&H7T1H@\3Mt0JAE/JNB 大于或等于转移。★黑基空间★?/g8n!w iF@

JB/JNAE 小于转移。

JBE/JNA 小于或等于转移。★黑基空间★S8LAJ*y0NT

以上四条，测试无符号整数运算的结果(标志C和Z)。

JG/JNLE 大于转移。★黑基空间★ {7QU
y~

Yf0Ez3KR.p0G.O0JGE/JNL 大于或等于转移。

JL/JNGE 小于转移。

P9_%W1aq?&\0JLE/JNG 小于或等于转移。★黑基空间★B'jN^2D(|f

!Q` q"l[%jNNq0以上四条，测试带符号整数运算的结果(标志S，O和Z)。★黑基空间★G|e1Xf*T

H9Dh8^eC{M0JE/JZ 等于转移。

vT8k G"{+| xc#~0JNE/JNZ 不等于时转移。★黑基空间★R#LJ+L%@"Q

Kq~|p2U(I3k0JC 有进位时转移。

bp.Wf7Z1v#V)uY7G0JNC 无进位时转移。

JNO 不溢出时转移。

JNP/JPO 奇偶性为奇数时转移。

gM&I'bM%X0JNS 符号位为“0”时转移。

WtH_-W,_0JO 溢出转移。

a1l"H"?~0JP/JPE 奇偶性为偶数时转移。★黑基空间★ V\g/XlCAH-E8B

r#[c/s7m*a0JS 符号位为“1”时转移。

g5?:ix[o03>循环控制指令(短转移)★黑基空间★J
wX)S2tY;n7Y

cN]L ZFd4O0LOOP CX不为零时循环。

i$U6`6SN$g&F0LOOPE/LOOPZ CX不为零且标志Z=1时循环。

LOOPNE/LOOPNZ CX不为零且标志Z=0时循环。★黑基空间★(F&p0nw+O

:J;A7]&^(FMQ i0JCXZ CX为零时转移。★黑基空间★6]:f,d&\7Ia{ Vi
F

9Yu6ne~&_ph j`0JECXZ ECX为零时转移。★黑基空间★*K&Eg%VP6w i

V%Unv Zk04>中断指令★黑基空间★j0LDR(C:un

INT 中断指令

INTO 溢出中断★黑基空间★8U;cz'],Z#s|

IRET 中断返回★黑基空间★!GO|]cb\7gwF

L"rlG}G)_R05>处理器控制指令★黑基空间★)Aa7QkRq#~Z

HLT 处理器暂停， 直到出现中断或复位信号才继续。

WAIT 当芯片引线TEST为高电平时使CPU进入等待状态。★黑基空间★4W8A ]:i ?e*NQ2Ux

ESC 转换到外处理器。★黑基空间★c V7LIE8h0g8p#O

3_nL1K|/k"m
m$l;W0LOCK 封锁总线。

4X G8d%Yp9O sr$[]5b0NOP 空操作。★黑基空间★`K xi-z_.u#rB8`

$wy$@WS ^^M0STC 置进位标志位。★黑基空间★6cfX h cHP _

cCa7H
Iej0CLC 清进位标志位。

CMC 进位标志取反。

i ]]3^B o_y0STD 置方向标志位。

F:SP d[n Uzx0CLD 清方向标志位。★黑基空间★2[.Vf6|._#CH

S2s.d$vS)W {v'T0STI 置中断允许位。★黑基空间★;~&\ @,I-}
A

CLI 清中断允许位。

rSC#t)IS,\7G0六、伪指令★黑基空间★3pu9i'Kv3I1I|-@\w%b:G

*[z0\l0yWN&_0DW 定义字(2字节)。★黑基空间★,{&^ Z!|,t9v:I`+j

)qq*p"H1[o2A@!n0PROC 定义过程。★黑基空间★,iE2s.s]!N|p)t

vQ.\ P(FnPG%p[;orp0ENDP 过程结束。

SEGMENT 定义段。

ASSUME 建立段寄存器寻址。★黑基空间★ E.E-@
J5G

ENDS 段结束。

0M+^C(F$x_3H0END 程序结束。★黑基空间★sn{gO

O;k{)FE%cZ0★黑基空间★(RF~+^G0bN