![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒技术
文章平均质量分 72
truCCe
不断学习,不断超越...
展开
-
病毒的重定位技术
早就知道这个了,但自己总结出来感觉透彻了不少。PE文件病毒感染时会在宿主上附加代码,但每次感染内存地址不同,修改代码内的地址是不现实的。所以就有了重定位技术,利用偏移值的确定性使代码可用。 重定位代码很短:JMPrebase ;1rebase: ;2POP EBX ;3SUB EB原创 2009-08-13 10:48:00 · 1939 阅读 · 0 评论 -
获取kernel32基址的另两种方法
病毒运行时可能会用到某些API,但如果导入表中没有的话,病毒的可移植性就不能保证。已经知道ntdll.dll和kernel32.dll是每个进程都需要加载的,如果知道了kernel32在进程中的地址,就能找到LoadLibrary和GetProcAddress从而加载其他dll文件并调用里面的API。以前学到过利用PEB结构来获得kernel32在进程中的基址其实还有两种常用的方法原创 2009-08-14 10:43:00 · 1956 阅读 · 0 评论 -
利用call传递静态参数
今天逆向的时候出现了一段代码,貌似很乱无意义:00402E28 E8 09000000 CALL t.00402E3600402E2D 61 POPAD00402E2E 64:76 61 JBE SHORTt.00402E92 00402E31 70 69原创 2009-08-18 10:40:00 · 544 阅读 · 0 评论