病毒/壳中用到的代码重定位技术

最新推荐文章于 2022-03-15 23:51:13 发布
最新推荐文章于 2022-03-15 23:51:13 发布
阅读量1.1k 收藏
点赞数
分类专栏: 病毒分析 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9069511
版权




当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位


下面是一个壳中用到的重定位代码:

DepackerCode:
	pushad
	call CallMe
  CallMe:
	pop ebp
	sub ebp,offset CallMe

一个pushad,一个CALL,学过脱壳的都很熟悉吧,不过这不是重点。。

如果这段代码是独立编译的话,看起来好像很奇怪,因为offset CallMe本来就等于ebp的值了啊,相减的话不等于0吗,等于0有什么用?(解释一下pop ebp获取到call下一行的代码)

但是这段程序不是独立编译的,而是放到其他软件上面运行,所以offset CallMe是本来的地址,而ebp中获取到的是现在的地址

看看OD反汇编代码:

00440060 Z>  60               pushad
00440061     E8 00000000      call ZR.00440066
00440066     5D               pop ebp
00440067     81ED F31D4000    sub ebp,ZR.00401DF3

两个相减得到壳加在软件身上产生的偏差,得到这个偏差之后,如果以后要访问其他的变量就可以这么做(401E3B是一个编译器生成的常量的地址)

lea edi,[ebp+401E3B]

Hades1996
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒重定位技术
why
06-20 2271
<br />病毒重定位技术<br /><br />  病毒重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。<br /><br />  首先我们来看<br /><br />假如我们定义一段变量  <br />    <br />  szText  db 'Virus Del
认识
xuplus的专栏
04-14 970
什么是? 在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“”了。推荐文档:  一切从“”开始   描述的示意图: 的加载过程   这里谈的加工具不是WinZIP、
VMP学习笔记之重定位修复(五)
u014738665的博客
10-14 760
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
重定位的原理&实现
xuplus的专栏
04-15 7815
重定位  病毒自身的重定位病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
分析
BpLife
11-25 434
压缩 1.压缩数据(压缩函数的调用) 2.处理E8,E9(jmp,call) 3.处理重定位 4.简单处理IAT 5.少许Anti,Anti-Dump 加密 1.压缩,加密数据 2.花指令 3.代码乱序 4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump 5.Stolen Code/Sto
关于病毒重定位
daohua的专栏
05-10 2339
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
初探计算机病毒(4)--重定位
长弓落日的专栏
06-30 1533
   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。     病毒作为一段代码附加到正常的程序的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序加载到内存其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax,
盘点SQLonHadoop用到的主要技术
02-26
以下是作者原文:考虑到系统使用的广泛程度与成熟度,在具体举例时一般会拿Hive和Impala为例,当然在调研的过程也会涉及到一些其他系统,如SparkSQL,Presto,TAJO等。而对于HAWQ这样的商业产品和apachedrill这样...
一个符号插入器 用到的js代码
10-30
### 一个符号插入器使用的JavaScript代码解析 #### 概述 本文将深入解析一个用于符号插入器的JavaScript代码片段。此代码主要涉及编辑器功能的实现,包括设置、获取编辑器内容,以及插入和追加HTML代码等功能。...
SD/MMC 用到的CRC7 C语言实现
05-21
CRC7 主要应用在SD/MMC card的CMD用到的CRC计算方法
SNV的python代码用到的文件
最新发布
01-31
SNV的python代码用到的文件
关于代码重定位问题
raiky的专栏
03-25 629
在远程线程注入,由于编程和实际运行处于不同的内存空间,势必会出现API内存地址不一致的情况,导致某些包含绝对地址的指令无法正常运行。解决这个问题的办法是代码重定位方法,具体代码如下:dwVar dd ?           call @F           @@:           pop ebx           sub ebx,offset @B        
代码重定位
weixin_42031299的博客
03-15 1377
链接地址 位置有/无关代码 程序段 代码重定位介绍 代码重定位的意义
经典的重定位代码
FISH 的专栏
01-23 1279
 在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 经典的代码是这样的:// call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址
代码重定位的理解
myselfzhangji的博客
05-20 2272
先给自己打个广告,本人的微信公众号正式上线了,搜索:张笑生的地盘,主要关注嵌入式软件开发,股票基金定投,足球等等,希望大家多多关注,有问题可以直接留言给我,一定尽心尽力回答大家的问题,二维码如下: 一 代码的组成 程序至少包含:代码段+数据段 代码段:.text 数据段:一般的全局变量,初值不为0的经过初始化的全局变量 如: char g_char ='A';...
windows脱复习
kernweak的博客
11-07 1739
UPX 使用upX压缩之后对比入下 现在使用OD脱压缩 注意配置OD的UDD路径,还有异常选项别忘设置 然后用OD在入我们前面加的程序。断在0x01014240 然而原来的入口 0100739D 0000 add byte ptr ds:[eax],al 0100739F 0000 ...
病毒重定位技术学习笔记
ProgrammingRing的专栏
09-05 2470
原文链接:点击打开链接 下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码 int g_nTest; __asm { call Dels 00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈 Dels: pop ebx 004
蓝牙用到的扩频技术的基本原理
05-19
蓝牙用到的扩频技术是频率跳跃扩频(Frequency Hopping Spread Spectrum,简称FHSS)技术。其基本原理是将数据信号经过带宽较宽的载波进行调制,然后在不同的时刻使用不同的载波频率进行传输,从而达到抵御窃听和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值