初探计算机病毒(4)--重定位

最新推荐文章于 2021-10-29 20:39:36 发布
最新推荐文章于 2021-10-29 20:39:36 发布
阅读量1.5k 收藏 1
点赞数
文章标签: exe api 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mi_Bo/article/details/4311254
版权

   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。
    病毒作为一段代码附加到正常的程序中的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序中加载到内存中其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax, [0x04000100]如果运行正确的话,那么加载到0x08000000这样的指令是会产生错误。因为病毒程序的代码和数据是作为一个整体附加到正常的exe文件当中的,加载的位置变了,程序所要访问的数据的位置也就变了,所以之前那种用固定值访问内存的方法就不可靠了。但是有有一样是一直都不变了,那就是代码和数据相对位置。来看这样的MASM代码:
    call @F
    @@:
    pop ebx
    sub ebx, @B
翻译成机器代码是:
005E5E3A >  E8 00000000     CALL 005E5E3F
005E5E3F    5B              POP EBX
005E5E40    81EB 8B144000   SUB EBX,0040148B
CALL指令后面是相对值,指明要运行CALL XXXX之后偏移多少字节地址处的指令。CALL  指令运行后它的下一条语句的地址就被推入栈中。POP EBX,EBX里存储既为此条指令的真正地址。 下一条指令SUB EBX,0040148B,0040148B是程序编译时确定的地址。这样一减就得到运行地址和编译地址的差值。那上面的mov eax, [0x04000100] 改造成 mov eax, [EBX + 0x04000100] 就可以准确无误的执行了。

Mi_Bo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker进阶-初探Docker-compose
02-25
compose翻译成中文的意思是"构成"和"组成"的意思。Docker我之前把他比作一个大轮船,这个轮船上面可以放很多很多的箱子。这个箱子我们可以看做是一个个的容器(container)。那么Docker-compose可以看到是就是把一个个箱子组合在一起成为一个大整体的意思。可以统一卸货,上货。放在我们的应用中就是可以通过Docker-compose管理我们容器(container)。这里只是一个通俗的比喻。理论至少可以参考Docker-compose官方文档。docker-compose是一个用来把docker自动化的东西,有了docker-compose你可以把所有繁复的docker操作
初探领域驱动设计--为复杂业务而生
03-03
领域驱动设计也就是3D(Domain-DrivenDesign)已经有了10年的历史,我相信很多人或多或少都听说过这个名词,但是有多少人真正懂得如何去运用它,或者把它运用好呢?于是有人说,DDD和TDD这些玩意是一些形而上的东西,只是一茶余饭后的谈资,又或是放到简历上提升逼格而已。前面这句话我写完之后犹豫了,犹豫要不要把它删掉,因为它让我看起来像个喷子,我确实感到不解,为什么别人10年前创造总结出来的东西,我们在10年之后对它的理解还处于这么低的一个层次。开篇就说远了,我也是最近才开始认真学习领域驱动设计,并且得到了园子里面netfocus,刘标才和田园里的蟋蟀的帮助,在此再次表示感谢。希望能
计算机研究 -计算机辅助进化建筑设计初探.pdf
06-29
计算机研究 -计算机辅助进化建筑设计初探.pdf
病毒的常用技术
研究源码的最底层,只持有正确的仓位
01-15 1346
病毒常用技术行为: 自保护,系统启动项,IE工具条,系统可执行挂钩(我理解inline hook系统dll),IE首页,系统服务,BHO插件,映像劫持,系统外壳,屏保,调试器,输入法注入,winsock lsp,打印机   ,证书相关,组策略相关,创建进程,结束进程(通过查找窗口或类名,进程名),创建服务或者驱动服务,启动驱动服务,写进程内存,操作内核内存,创建远程线程,加载驱动,消息钩 ...
关于病毒的重定位
daohua的专栏
05-10 2323
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
重定位的原理&实现
xuplus的专栏
04-15 7673
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
病毒/壳中用到的代码重定位技术
潜心学习
06-10 1178
当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位 下面是一个壳中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
代码重定位技术
tutucoo
12-14 382
代码重定位技术一般用于远程线程注入和病毒感染技术当中,当注入和感染的代码使用了全局变量,全局变局的地址就需要进行重定位,否则代码无法正常执行。这是因为,代码注入其他进程空间以后,注入的位置跟原来程序中的位置不一样,而全局变量在汇编层其实就是一个偏移,因此无法再通过原来的偏移找到全局变量了。 既然如此,我们只要找到注入位置的差值,我们就能一直准确定位到我们想要的全局变量了。 所以写入到目标进程的代码...
病毒的重定位技术
why
06-20 2237
<br />病毒的重定位技术<br /><br />  病毒的重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。<br /><br />  首先我们来看<br /><br />假如我们定义一段变量  <br />    <br />  szText  db 'Virus Del
关于代码重定位问题
raiky的专栏
03-25 620
在远程线程注入中,由于编程和实际运行处于不同的内存空间,势必会出现API内存地址不一致的情况,导致某些包含绝对地址的指令无法正常运行。解决这个问题的办法是代码重定位方法,具体代码如下:dwVar dd ?           call @F           @@:           pop ebx           sub ebx,offset @B        
计算机网络安全技术-计算机病毒初探
12-05
计算机网络安全技术,计算机病毒初探,网络原理课程报告
计算机病毒——Call To Pop技巧
qq_39721774的博客
08-16 277
计算机病毒——Call To Pop技巧 为什么使用Call To PopCall To Pop实例典型Call To Pop变形Call To Pop变形1变形2W32/Kris中的应用(来自《计算机病毒防护技术》一书) 为什么使用Call To Pop 计算机病毒需要将自己插入宿主中,绝对地址难以获取,运行时虽然我们不能读写EIP,但是call指令会将当前指令的下一指令地址压入栈,方便获取。 ...
WINDOWS+PE权威指南读书笔记(11)
沐一 · 林 的博客
10-29 184
目录 栈与重定位表 实现重定位的方法: 重定位编程: PE 文件头中的重定位表: 重定位表定位: 重定位表项 IMAGE_BASE_RELOCATION: 重定位表的结构: 遍历重定位表: 重定位表实例分析: 小结: 栈与重定位表 实现重定位的方法: 代码重定位的关键问题是代码中使用了大量的绝对地址。如果将这些绝对地址改成相对地址,那么重定位的问题也就很自然地解决了。 看下面的例子:(用相对偏移间接表示全局变量) 以上代码对应的字节码为: 上述代码不存
经典的重定位代码
FISH 的专栏
01-23 1272
 在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 经典的代码是这样的:// call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址
病毒重定位
BpLife
09-22 1304
一个典型的病毒重定位方法:                          call  _n                    _n:                        pop ebp                        sub  ebp,offset _n                                    这里offset是硬编码
计算机病毒的位置,关于计算机病毒的定位问题
weixin_39819974的博客
07-19 431
该楼层疑似违规已被系统折叠隐藏此楼查看此楼病毒的生存空间就是宿主程序,而因为宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。所以这就是病毒首先要重定位的原因。在我们编写程序的时候,所用到的变量的位置都是相对与程序某一个位置的偏移,正常的程序加载的地址是唯一的,所以它们不需要重定位。而病毒的加载是随机的所以就有了重定位的过程。虽然加载的位置不一定,...
病毒的重定位技术学习笔记
ProgrammingRing的专栏
09-05 2450
原文链接:点击打开链接 下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码 int g_nTest; __asm { call Dels 00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈 Dels: pop ebx 004
什么是重定位?为什么需要重定位?(嵌入式下)
热门推荐
漩涡小林的博客
11-11 1万+
一、必须知道的几个概念。1、链接地址和运行地址。①运行地址,顾名思义就是程序运行的时候的地址,也就是你用工具将代码下载到RAM的那个地址,也叫加载地址。②链接地址,由链接脚本指定的地址。为什么需要链接脚本指定地址呢?你想一下,在c语言编程中,当我们需要调用一个A函数的时候,编译器是怎么找到这个A函数?编译器肯定是知道它被放在哪里才可以找到它。那就是链接脚本的作用,链接脚本其实在程序被执行之前都已经指
uniapp 电子印章_初探uni-app框架 踩坑
最新发布
06-08
关于 uniapp 电子印章和初探 uni-app 框架踩坑,我可以为你提供一些初步的信息。 首先,uniapp 是一款跨平台开发框架,可以同时开发出 Android 和 iOS 两个平台的应用程序。它的开发语言是 Vue.js,使用了一些基于 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值