可以自己实现重定位的代码

    在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过windows来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由VirtualAlloc分配的内存.

    经典的代码是这样的

                      call delta                  ; // call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址,当然call这个函数是通过相对偏移来调用的,不存在重定位的问题
  delta:              pop ebp                     ; // 这里取出返回地址,注意此地址是进程空间里面的绝对地址
                      sub ebp, offset delta       ; // 把绝对地址和相对偏移相减就可以获得相对偏移与绝对地址的转换关系
  
                      mov eax, [ebp
+ kernel32]     ; // 有了转换关系之后就可以轻松调用各个由相对地址指定的数据段或者函数
  kernel32             dd      ?

 

    实际上我们做的工作就是windows加载时要做的工作,上面的代码如果通过windows来加载完成,那么相对偏移就会被windows重定位,与绝对地址的差值为0.但是如果是手工加载,那么这个差值就与加载地址密切相关了.

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值