病毒的重定位技术

最新推荐文章于 2023-12-17 22:20:53 发布
最新推荐文章于 2023-12-17 22:20:53 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 病毒技术 文章标签: 汇编 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trucce/article/details/4441342
版权
本文介绍了PE文件病毒感染时采用的重定位技术,通过短小的重定位代码实现地址的动态调整,确保病毒代码在内存中的有效执行。讲解了JMP、POP和SUB指令在重定位过程中的作用,并通过反汇编实例展示了如何计算偏移量,以适应病毒代码在宿主文件中的位置变化,从而正确访问内存中的地址。
摘要由CSDN通过智能技术生成

早就知道这个了,但自己总结出来感觉透彻了不少。

PE文件病毒感染时会在宿主上附加代码,但每次感染内存地址不同,修改代码内的地址是不现实的。所以就有了重定位技术,利用偏移值的确定性使代码可用。

 

重定位代码很短:

JMP rebase            ;1

rebase:                  ;2

POP EBX              ;3

SUB EBX, offset rebase        ;4

 

1. JMP语句会将下一条语句的地址压栈。注意是物理上的下一条,不是EIP指向的下一条。也就是说如果12之间有其他语句的话,压入的就相应地址而不是POP语句的地址了。当然中间加入语句也是可以

最低0.47元/天 解锁文章
truCCe
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒重定位技术1
落笔飞花笑百生的博客
04-27 720
 include 'win32ax.inc' use32 .code start: call $+5 ca: pop eax lea eax,[eax+sdata-ca] .end start section '.data' readable writeable sdata db "fuckyoursister!",0
病毒重定位
BpLife
09-22 1322
一个典型的病毒重定位方法:                          call  _n                    _n:                        pop ebp                        sub  ebp,offset _n                                    这里offset是硬编码
关于病毒重定位
daohua的专栏
05-10 2342
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
病毒/壳中用到的代码重定位技术
潜心学习
06-10 1205
当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位 下面是一个壳中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
基于免疫和代码重定位的计算机病毒特征码提取与检测方法
03-06
具体来说,研究中建立了“自身”、“非自身”、“抗体”、“病毒的检测器”以及“病毒的基因”等概念,并利用代码重定位技术提取计算机病毒中的基因信息,构建病毒基因池。在此基础上,建立了自身和非自身动态演变的...
《计算机病毒及其防范技术》1.0.doc
10-11
电脑病毒的分类包括文件型、引导型、宏病毒等,PE文件型病毒的关键技术包括重定位(修正病毒代码的地址)、API函数获取(利用系统函数执行恶意行为)、文件搜索(寻找感染目标)、内存映射文件(在内存中加载病毒...
远程代码/进程注入和重定位
04-08
远程代码/进程注入和重定位是计算机编程中的高级技术,主要应用于系统监控、调试、恶意软件行为以及合法的安全工具中。这项技术涉及到在运行时将一个程序或代码块放入另一个正在运行的进程的地址空间中执行,从而...
病毒性传染病实验室诊断技术进展.pptx
10-06
核酸杂交技术,如荧光原位杂交(FISH)和线性探针分析法(LiPA),则能定位和识别特定的DNA序列,对于病毒分型和耐药性的研究尤其有价值。 分子诊断技术的应用不仅限于病原体的诊断,还可以进行病原体的分型、耐药...
关于PE病毒编写的学习(七)——重定位的谬误和它的正确写法
11-07 1736
1.为何需要重定位病毒的生存空间就是宿主程序,而因为宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。所以这就是病毒首先要重定位的原因。在我们编写程序的时候,所用到的变量的位置都是相对与程序某一个位置的偏移,正常的程序加载的地址是唯一的,所以它们不需要重定位。而病毒的加载是随机的所以就有了重定位的过程。虽然加载的位置不一定,但是变量到某一个位置的偏移却是固定的。所以重定位的基本原理就是找到这个特殊的位置。具体的方法有很多种。这里说几种常见的。前面介绍的“前置
免疫性属于计算机病毒特征码,基于免疫和代码重定位的计算机病毒特征码提取与检测方法.doc...
weixin_30925033的博客
07-14 298
基于免疫和代码重定位的计算机病毒特征码提取与检测方法基于免疫和代码重定位的计算机病毒特征码提取与检测方法张瑜 LIU Qing-zhong 宋丽萍 罗自强 曹均阔海南师范大学信息学院 Department of Computer Science SamHouston State University 浙江省电子信息产品检验所信息安全重点实验室X关注成功!加关注后您将方便地在 我的关注中得到本文献的...
重定位的原理&实现
xuplus的专栏
04-15 7839
重定位  病毒自身的重定位病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
病毒程序的重定位+动态获取API+获取kernel32.dll基地址+钩子+驻留内存
chopstics的专栏
07-07 3694
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址,病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
代码重定位技术
tutucoo
11-29 316
int g_nTest; __asm { call Dels Dels: pop ebx lea eax, g_nTest sub eax, Dels lea edx, [ebx + eax] }...
病毒重定位技术学习笔记
ProgrammingRing的专栏
09-05 2474
原文链接:点击打开链接 下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码 int g_nTest; __asm { call Dels 00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈 Dels: pop ebx 004
病毒重定位的基本思路和方法
最新发布
weixin_49816179的博客
12-17 264
熟悉Masm32的使用,熟悉病毒重定位的基本思路和方法,在 HelloWorld.exe 中添加一段代码, 该段代码满足以下几个条件:1.该段代码弹出一个对话框 (标题: 武大信安病毒重定位,内容: 姓 名+学号后四位) 2.该段代码同时包括代码和字符串数据。3. 该段代码可以插入到.text节的任意指令之间,而不需要修改该段代 码中的任何字节。
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3017
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
汇编语言代码重定位
weixin_30364147的博客
12-21 789
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)中正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。用函数时,参数要用到全局变量的时候,要先lea出地址来; 经典的重定位代码: //--------取偏移量方法 ----------------------------------------------------     call ...
学习日记——(计算机病毒)PE文件病毒
weixin_54055099的博客
11-22 6180
一、相关知识 PE文件病毒的原理:PE文件病毒感染病毒时,将自身代码复制到目标文件中 PE文件病毒在目标文件前运行,那么,它是怎么做到的呢? 答:PE病毒感染其他文件的常见方法是: 在文件中添加一个新节,然后把病毒代码和执行后返回宿主程序的代码写入到新添加的节中; 同时修改PE文件头的入口地址,使它指向新添加的病毒代码入口; 这样做后,当程序运行时,首先运行病毒代码,运行完后再转去运行宿主代码。 PE文件病毒的感染过程: 第一种: 判断目标文件开始的两个字节是否为“MZ”; 判断PE文件的
Win32环境下病毒重定位原理详解
在"病毒重定位-2019下半年信息系统监理师真题及答案0226"这篇文档中,主要探讨的是计算机病毒中的关键技术之一——重定位。...5. 教材提供的理论基础和实用技能,对于防范和应对计算机病毒重定位具有指导意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值