关于病毒的重定位

最新推荐文章于 2023-12-17 22:20:53 发布
最新推荐文章于 2023-12-17 22:20:53 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 汇编 生物
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daohua/article/details/2425838
版权

今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。

病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。

在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。

什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。

比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,也就是程序独立存在的时候这些变量的空间,逻辑关系应该都是不变的(因为编译后就成了一堆死的二进制代码),但是当病毒附在宿主后整体的逻辑,空间地址就会发生变化,起码它必须以宿主为参照物,当然还有其他变化。这样(附体)以后,实际地址和“编译地址”就不一样了,也就是此事根据实际地址访问的不再是以前的变量a,b了。为了纠正程序的地址改变,必须使用重定位。(自己都感觉很啰嗦)

简单的重定位可用几句汇编代码实现:

call begin               //程序转到begin,并且将begin地址压入堆栈

begin:

pop eax                 //将begin地址存到eax

sub eax offset begin       //得到两者之间的差值

我们实现重定位(也就是就计算实际地址)时,只要将这个差值加上就可以了,即:实际地址=编译地址+差值。

似乎有点含糊。。。

daohua
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒重定位技术
why
06-20 2231
<br />病毒重定位技术<br /><br />  病毒重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。<br /><br />  首先我们来看<br /><br />假如我们定义一段变量  <br />    <br />  szText  db 'Virus Del
基于免疫和代码重定位的计算机病毒特征码提取与检测方法
03-06
基于免疫和代码重定位的计算机病毒特征码提取与检测方法
PE病毒的学习资料包
06-08
PE型感染病毒 —— VC源码 PE型感染病毒 —— 遍历磁盘PE文件 (2) PE型感染病毒 —— 遍历磁盘驱动器 (1) PE型感染病毒 —— 增加节点修改PE入口 (3) Win32平台下的PE文件病毒的研究及实现。rar 关于PE病毒编写的学习 关于PE病毒编写的学习(八)——定位API的N种方法 关于PE病毒编写的学习(六)——关于PE文件结构操作的程序编写 关于PE病毒编写的学习(七)——重定位的谬误和它的正确写法 关于PE病毒编写的学习(三) 关于PE病毒编写的学习(四)——关于历遍磁盘的讨论 关于PE病毒编写的学习(五)——病毒如何做标记和记录信息 关于PE病毒编写的学习
初探计算机病毒(4)--重定位
长弓落日的专栏
06-30 1510
   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。     病毒作为一段代码附加到正常的程序中的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序中加载到内存中其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax,
重定位的原理&实现
xuplus的专栏
04-15 7654
重定位  病毒自身的重定位病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
病毒/壳中用到的代码重定位技术
潜心学习
06-10 1175
当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位 下面是一个壳中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
病毒重定位的基本思路和方法
最新发布
weixin_49816179的博客
12-17 152
熟悉Masm32的使用,熟悉病毒重定位的基本思路和方法,在 HelloWorld.exe 中添加一段代码, 该段代码满足以下几个条件:1.该段代码弹出一个对话框 (标题: 武大信安病毒重定位,内容: 姓 名+学号后四位) 2.该段代码同时包括代码和字符串数据。3. 该段代码可以插入到.text节的任意指令之间,而不需要修改该段代 码中的任何字节。
计算机病毒的位置,关于计算机病毒的定位问题
weixin_39819974的博客
07-19 428
该楼层疑似违规已被系统折叠隐藏此楼查看此楼病毒的生存空间就是宿主程序,而因为宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。所以这就是病毒首先要重定位的原因。在我们编写程序的时候,所用到的变量的位置都是相对与程序某一个位置的偏移,正常的程序加载的地址是唯一的,所以它们不需要重定位。而病毒的加载是随机的所以就有了重定位的过程。虽然加载的位置不一定,...
病毒重定位
BpLife
09-22 1303
一个典型的病毒重定位方法:                          call  _n                    _n:                        pop ebp                        sub  ebp,offset _n                                    这里offset是硬编码
PE文件病毒示例程序
03-22
很简单的PE文件病毒示例
Virus-Learning:感染PE文件的病毒学习过程
05-28
重定位 API函数地址的获取: 1)暴力搜内存中kernel32.dll基址 2)通过PEB获取kernel32.dll基址 感染PE文件 磁盘递归搜索技术 主要功能: 感染桌面上所有的exe后缀文件,使之弹出MessageBox,并继续运行原有程序 ...
如何查杀运行状态下的EXE、DLL病毒
11-15
避免系统重装遇病毒攻击的十招 第一招:不要急着接入网络 在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞, 非常容易感染病毒和被入侵。此时要加上冲击波...
20秋学期(1909、2003、2009-)《计算机病毒分析》在线作业.docx
05-23
A:内存映射 B:基地址重定位 C:断点 D:跟踪 答案:D 在WinDbg的搜索符号中, ()命令允许你用符号在没有加载的代码中设置一个延迟断点。 A:bu B:x C:Ln D:dt 答案:A WinDbg的内存窗口支持通过命令来浏览内存,以下...
时频多重挤压变换附matlab代码+运行结果.zip
08-26
1.版本:matlab2014/2019...##### 6.1 无线传感器定位(Dv-Hop定位优化、RSSI定位优化) ##### 6.2 无线传感器覆盖优化 ##### 6.3 无线传感器通信及优化(Leach协议优化) ##### 6.4 无人机通信中继优化(组播优化)
参数化重采样时频变换(PRTF变换)附matlab代码+运行结果.zip
08-26
1.版本:matlab2014/2019...##### 6.1 无线传感器定位(Dv-Hop定位优化、RSSI定位优化) ##### 6.2 无线传感器覆盖优化 ##### 6.3 无线传感器通信及优化(Leach协议优化) ##### 6.4 无人机通信中继优化(组播优化)
MiniPopup:jQuery MiniPopup 插件可帮助您轻松创建自定义弹出窗口
06-26
#jQuery MiniPopup 插件 ##Overview jQuery MiniPopup 插件可帮助您轻松创建自定义弹出窗口。 ##API ###方法 ... 表示是否会重定位的弹窗。 ###closeButton 默认值: .close, cancel 关闭按钮元素 jQ
Highcall-Library:用户模式独立内核接口
05-02
高调图书馆 设计用于避免从Windows中使用的行为分析,沙箱,反作弊,防病毒中进行检测,从而避免了常见的检测程序。 支持的系统是Windows 7,Windows 8,...带重定位修复的挂钩函数 方便的安全阅读功能 字符串助手
CoronaVirusTracker:具有最新统计信息的每日报告-由于此应用无法在Play上发布,因此我不再从事此工作
02-18
从页面重定位更改API调用 版本3变更日志: 升级改造并添加Kotlin协程支持 更改用户界面和调色板 为Room添加协程支持 作用域将协同程序关联到Job的ViewModel生命周期 添加材质背景w菜单 基本句柄景观xml 版本2更新...
静态重定位和动态重定位
06-12
静态重定位和动态重定位是两种不同的重定位方式。 静态重定位是指在程序被链接时,将程序中所有的符号引用都解析成实际的内存地址,生成一个完全可执行的程序。在静态重定位的方式下,程序在执行时不需要进行额外的重定位,因为所有的地址都已经被解析成实际的内存地址了。静态重定位的好处是程序执行时速度较快,因为不需要进行额外的重定位操作,坏处是程序文件较大,因为所有的符号引用都已经被解析成实际的内存地址。 动态重定位是指在程序运行时,当程序需要访问某个符号时,才将该符号引用解析成实际的内存地址。在动态重定位的方式下,程序文件较小,因为不需要将所有的符号引用都解析成实际的内存地址,但是程序执行时速度较慢,因为每次访问符号时都需要进行额外的重定位操作。 动态重定位的好处是程序的可移植性较好,因为程序不依赖于具体的内存地址,可以在不同的内存地址空间中运行。动态重定位也可以实现共享库的功能,多个程序可以共享同一个库文件,减少内存占用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值