在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过windows来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由VirtualAlloc分配的内存.
经典的代码是这样的
call delta ;
//
call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址,当然call这个函数是通过相对偏移来调用的,不存在重定位的问题
delta: pop ebp ; // 这里取出返回地址,注意此地址是进程空间里面的绝对地址
sub ebp, offset delta ; // 把绝对地址和相对偏移相减就可以获得相对偏移与绝对地址的转换关系
mov eax, [ebp + kernel32] ; // 有了转换关系之后就可以轻松调用各个由相对地址指定的数据段或者函数
kernel32 dd ?
delta: pop ebp ; // 这里取出返回地址,注意此地址是进程空间里面的绝对地址
sub ebp, offset delta ; // 把绝对地址和相对偏移相减就可以获得相对偏移与绝对地址的转换关系
mov eax, [ebp + kernel32] ; // 有了转换关系之后就可以轻松调用各个由相对地址指定的数据段或者函数
kernel32 dd ?
实际上我们做的工作就是windows加载时要做的工作,上面的代码如果通过windows来加载完成,那么相对偏移就会被windows重定位,与绝对地址的差值为0.但是如果是手工加载,那么这个差值就与加载地址密切相关了.