计算机病毒——Call To Pop技巧

最新推荐文章于 2022-04-07 22:14:40 发布
最新推荐文章于 2022-04-07 22:14:40 发布
阅读量284 收藏 1
点赞数
分类专栏: 计算机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39721774/article/details/99686064
版权

计算机病毒——Call To Pop技巧

为什么使用Call To Pop

计算机病毒需要将自己插入宿主中,绝对地址难以获取,运行时虽然我们不能读写EIP,但是call指令会将当前指令的下一指令地址压入栈,方便获取。

Call To Pop实例

典型Call To Pop

Call_To_Pop:
	call Next
Next:
	pop eax

此时eax中储存着Next的地址。(由于call Next是相对地址,因此call Next处不需要重定位)

变形Call To Pop

典型Call To Pop很容易作为病毒的标志,因此可以进行变形。
下面是博主的想法:

变形1

Need_To_Get_Address:
	call Next
Next:
	mov eax,[eap]
	add esp,4

变形2

Need_To_Get_Address:
	call Next
Next:
	mov eax,DWORD ;DWORD随便定个常数即可
	xor eax,[eap]
	xor eax,DWORD
	add esp,4

W32/Kris中的应用(来自《计算机病毒防护技术》一书)

0040601A	E807000000		call 004060
0040601F	34F4			xor al,F4
00406021	F0A4			lock movsb
00406023	288C085EB934AC	sub [eax + ecx - 53CB46A2],cl
0040602A	0200			add al,[eax]

(看了之后一头雾水)

ykkz000
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取当前指令地址汇编指令2
JUST DO IT.
06-18 2678
call addressa addressa pop eax ret 这种方法利用了call指令会在栈上保存ip值,之后pop就可以使某寄存器获取为该ip值了。
恶意代码分析-第十九章-shellcode分析
每昔的博客
09-13 1915
笔记 shellcode:一个可执行代码的有效载荷,包含可执行代码 加载shellcode分析:在IDApro中分析时,选择处理器类型Interl 80x86 processers,并选择32-bit disassembly 使用位置无关代码: 第一条和第二条指令都是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来计算。所以是位置无关代码 第三条指令是一个访问全局数...
动态获取API的地址
weixin_43575859的博客
03-18 1099
原理: 现在虽然大部分Win32程序都使用ExitProcess函数来终止执行,但是其实用ret指令也是可以的。我们的应用程序的主程序可以被看成是一个被Windows调用的子程序。当父进程要创建一个子进程时,它会调用Kernel32.dll中的CreateProcess函数,CreateProcess函数在完成装载应用程序后,就会把一个返回地址用push压入栈,这个返回地址是子进程用ret来结束...
汇编指令push,mov,call,pop,leave,ret建立与释放栈的过程
liu_if_else的博客
05-28 2万+
感觉这东西有点烧脑,花了一下午时间终于整个捋顺了整个流程。 想理解好此过程,理解每个指令的作用,必须结合指令行地址,栈地址和寄存器一起来分析,否则很容易被绕晕。 大图图片说明:内存地址,汇编指令都为简写,用的十进制,栈空间1个格子大小是4*8=32位(对应32位操作系统),指令行长度应为1-6字节,都简化为1字节。为了简化汇编指令行,函数都没有参数。实际执行顺序一列中,左边为寄存器或栈空间地址
Push, Pop, call, leave 和 Ret 指令图解
热门推荐
striver1205的专栏
05-14 6万+
帧栈结构图:最近在研究如何在程序crash定位出错函数,补充的计算机系统基础知识。此篇主要是介绍IA32中帧栈结构(frame stack).
OutgoingCallBroadcaster.rar_Call to Action
09-23
OutgoingCallBroadcaster receives CALL and CALL_PRIVILEGED Intents, and broadcasts the ACTION_NEW_OUTGOING_CALL intent which allows other applications to monitor, redirect, or prevent the outgoing call...
WARNING L15: MULTIPLE CALL TO SEGMENT
08-03
Keil 中的报警错误 WARNING L15: MULTIPLE CALL TO SEGMENT Keil 中的报警错误 WARNING L15: MULTIPLE CALL TO SEGMENT 是一个常见的报警错误,今天我们来详细讲解这个问题。 在 Keil 中,当编译器检测到多个调用...
PHP FATAL ERROR: CALL TO UNDEFINED FUNCTION BCMUL()解决办法
12-19
在PHP编程环境中,有时会遇到“PHP FATAL ERROR: CALL TO UNDEFINED FUNCTION BCMUL()”这样的错误,这通常意味着在尝试调用一个未定义的函数`bcmul()`。`bcmul()`是PHP的Bcmath扩展中的一个函数,用于进行大整数的...
KEIL警告: MULTIPLE CALL TO SEGMENT
08-01
KEIL警告: MULTIPLE CALL TO SEGMENT KEIL警告: MULTIPLE CALL TO SEGMENT是KEIL编译器中的一种警告,表示编译器检测到一个函数可能会被主函数和一个中断服务程序同时调用,或者同时被多个中断服务程序调用。 警告...
Call To Power-开源
05-29
《Call To Power-开源》项目概述 开源软件是信息技术领域中的一个重要概念,它是指源代码可以被自由查看、使用、修改和分发的软件。这种开放的开发模式鼓励社区参与和协作,使得软件的创新速度加快,同时也为用户...
异或加密
Xor0ne
02-28 1186
这几天试了好几次都只是半成半不成的样子,索性今天花时间写下来吧,一些不懂的东西在以后的实践中慢慢探寻吧。 哈哈,写文章的时候竟然运行成功了。赞???? 文章目录(1)、形成shellcode(2)、Xor加密shellcode(3)、类循环解密最后附上成功的代码啦: 利用的是Messagebox()弹框进行XOR加密。 (1)、形成shellcode 以下代码是shellcdoe的汇编代码、形成后的代码...
WINDOWS黑客基础(5):利用内存来进行获取计算结果
06-23 138
在前面的注入代码的章节中,我们利用了VirtualAllocEx来在对方的进程开辟了一块内存,并且将代码复制进对方进程的内存里面,从而执行那段内存的代码,但是这里有一个问题,就是代码不是执行在我们进程内的,所以我们无法像在本进程编程那样直接利用返回值或者传入指针来获取计算结果,这个时候我们可能需要到很多通讯手段,但是这样将会让我们的注入代码变得非常复杂,所以我自己想了一个方法,就是利用V...
第八周子程序结构
执念斩长河
04-07 419
包含子程序设计与宏、共享变量的内容,是汇编基础最后一部分。
push/pop堆栈指令
weixin_33711641的博客
05-16 3053
堆栈是存储器中专用的缓冲区,用于暂存寄存器数据或地址指针,push/pop就用于堆栈的操作,这两个指令一般用在: 1、子程序调用,为了保护现场,把所要用的寄存器中的内容先暂时保存起来,在子程序调用结束之前,按照先进后出的原则,把数据恢复。 2、有时候,需要临时用一下某些寄存器,也可用一下,凭个人喜好; 这两个指令必须成对使用(特殊用途除外),你只要压入了那些东西,并且知...
栈和栈帧(一)
liuyinandabendan的专栏
01-04 985
     栈可以理解为一块存储空间。而栈帧是栈的一部分,是在栈中专门为一个过程或者说一个函数分配的栈空间。     栈的功能主要是用来存储过程参数,存储返回信息,保存寄存器,存储本地变量。事实上这四个功能中的前三个主要是为了实现一个目标--函数调用。也就是在一个函数中调用其他函数。例如已有一个函数p,在这个函数中要调用另一个函数q。这个过程需要栈的支持,也就是要实现的几个功能。p称为调用者,而
神秘的call $+5 pop eax
magictong的专栏
05-28 6760
在进行病毒分析时,或者调试漏洞的shellcode时,经常看到标题中的指令流(E800000000 58,第二条肯定是pop指令,但是目的寄存器不一定是eax),这是干什么的呢?        看起来貌似很神秘,其实结合前后代码的意图可以知道(进行实时调试),最终eax中存放的数据是0x00413935(就上面的代码),而这个0x00413935,恰好就是pop eax指令的地址,因此实际
【逆向】【Part 1】Windows基础知识
lanlanla的成长历程
01-08 1932
目录 1.Win32的软硬件平台 1.80X86系列处理器 2.80X86处理器的工作模式 2.Windows内存管理 1)实模式下的寻址方式 2)保护模式下的内存寻址 3)内存分页机制 4)Windows的内存安排 3.Windows的特权保护 1.80386的中断和异常 (1)80386实模式下的中断和异常处理 (2)80386保护模式下的中断和异常处理 2.8038...
汇编获取当前执行位置方法总结
jmp esp
07-05 2968
call-popglobal _start section .text _start: call next_ins next_ins: pop rax ; rax holds current pc ret ; nasm -felf64 test.S && ld -o test test.o这种方法利用了call的时候会在栈上保存ip值,之后pop就可以使某寄存器获取
ambiguous call to overloaded f
最新发布
08-27
"ambiguous call to overloaded f" 的意思是函数重载时出现了歧义的调用。这通常是因为函数重载的参数类型或数量不够明确,导致编译器无法确定应该调用哪个函数。需要检查函数重载的参数类型和数量是否正确,以解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值