代码重定位技术

最新推荐文章于 2023-09-07 10:17:46 发布
最新推荐文章于 2023-09-07 10:17:46 发布
阅读量400 收藏 2
点赞数
分类专栏: 程序设计 文章标签: 代码重定位 代码自定位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/85006932
版权

代码重定位技术一般用于远程线程注入和病毒感染技术当中,当注入和感染的代码使用了全局变量,全局变局的地址就需要进行重定位,否则代码无法正常执行。这是因为,代码注入其他进程空间以后,注入的位置跟原来程序中的位置不一样,而全局变量在汇编层其实就是一个偏移,因此无法再通过原来的偏移找到全局变量了。
既然如此,我们只要找到注入位置的差值,我们就能一直准确定位到我们想要的全局变量了。
所以写入到目标进程的代码一开始就会计算出注入位置的差值,下面的代码就是用来计算差值,然后通过差值就可以找全局变量,一般来说不直接使用全局变量或者标号的偏移量。
下面是重定位的经典代码

	dwvar  dd    ?  ;全局变量
	call @F  
@@: 
	pop ebx 
	sub ebx,offset @B
	mov  eax,[ebx + offset dwvar]

首先调用call @F,@F是指后面最近的@@标号,我们知道call指令其实相当于push eip,jmp xxx,所以下一句pop ebx会使ebx得到eip的值,这个值其实就是代码注入位置。
然后再看sub ebx,offset @B,@B是指前面最近的@@标号,这个@B在注入之前和注入之后都是同一个值,它永远不会变。
offset @B在注入之前的程序中就已经写死,是指@@的偏移量,而ebx此时也是指@@的偏移量,它们不同的是:前者永远不会变,而后者会因为进程的不同而变化。所以执行过sub ebx,offset @B以后ebx中保存的就是注入位置的差值。
既然找到差值了,就可以使用[ebx+offset xxx]的方式使用全局变量了!

tutucoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ARM Uboot经历——Uboot代码重定位
luciferful的专栏
07-18 8649
Uboot重定位是uboot启动后的一个重要功能,重定位的目的是为了让uboot运行在速度性能更好的RAM上,一般是从外部RAM搬移到内部RAM。重定位这块说简单也简单,说复杂也复杂,主要涉及到编译和链接等相关原理才能很好的理解整个过程。另外,理解了ARM的重定位,对于Kernel启动过程的重定位也就理解了。 编译器惹的祸 uboot重定位不是简单的copy,归根结底在于gcc的编译和链接过程
经典的重定位代码
jeason29的专栏
05-15 2456
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)中正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。用函数时,参数要用到全局变量的时候,要先lea出地址来;    取偏移量方法 ----------------------------------------------------     call @vstart   @vstar
代码重定位——基本原理及实现
Hello Mr.Z的博客
01-11 2545
Uboot运行地址和装载地址区别 小狼@http://blog.csdn.net/xiaolangyangyang 参考文献:代码重定位解析 加载地址和运行时地址 & 代码重定位 (2020)
代码重定位
weixin_42031299的博客
03-15 1377
链接地址 位置有/无关代码 程序段 代码重定位介绍 代码重定位的意义
10.代码重定位
广源的博客
01-08 1374
目录 1.为什么需要代码重定位? 2.Nand Flash 和Nor Flash 的区别  3. 程序段的组成 4.代码重定位思路: 5.链接脚本 6.初始化bss段数据 7.定位代码和链接脚本的改进 8.重定位全部代码 9.使用C语言编写重定位代码代码: 1.为什么需要代码重定位? 首先以SOC芯片S3C2440为例,他的内部结构图以及外接内存设备简图如下: C...
病毒/壳中用到的代码重定位技术
潜心学习
06-10 1196
当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在壳代码上定义的变量和常量的地址都会无法访问,因为编译器给壳中变量A生成的地址是A,但是把壳段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到壳的变量,需要对代码重新定位 下面是一个壳中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
2.7 PE结构:重定位表详细解析
最新发布
CSDN
09-07 1万+
重定位表(Relocation Table)是Windows PE可执行文件中的一部分,主要记录了与地址相关的信息,它在程序加载和运行时被用来修改程序代码中的地址的值,因为程序在不同的内存地址中加载时,程序中使用到的地址也会受到影响,因此需要重定位表这个数据结构来完成这些地址值的修正。
ELF重定位
RToax
10-30 2231
在工作和学习中,越发发现ELF文件格式的重要性,今天简单谈谈ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。 ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。https://mp.weixin.qq.com/s?__biz=MzAxNjIyNDgzNw==&mid=2247488904&idx=1&sn=78cb9a50f76b471d760e37be0527a02..
韦东山嵌入式Linux学习笔记之——代码重定位004_代码重定位与位置无关码
Iron_man的博客
07-14 967
将程序(包含可运行的代码和数据)从一个位置(flash)移动至另外一个位置运行或进行数据的读写成为代码重定位代码重定位的根本原因是改善某个存储介质的某些缺陷(例如存取速度,读写限制等等)。在实际中我们可以只重定位程序的某一段(如数据data段或者代码text段),或者将整个程序进行重定位。现在考虑将整个程序重定位至SDRAM所需要的技术细节:① 从flash中将程序复制到(重定位)SDRAM,要...
重定位
人生智慧的博客
08-29 3148
为了决定段的大小、符号定义、符号引用,并指出包含那些库模块、将这些段放置在输出地址空间的什么地方,链接器会将所有的输入文件进行扫描。扫描完成后的下一步就是链接过程的核心,重定位。由于重定位过程的两个步骤,判断程序地址计算最初的非空段,和解析外部符号的引用,是依次、共同处理的,所以我们讲重定位即同时涉及这两个过程。 链接器的第一次扫描会列出各个段的位置,并收集程序中全局符号与段相关的值。一旦链接器
012_relocate_013_代码重定位_
10-03
重定位过程可能会用到硬件支持,如处理器的重定位寄存器,或者是软件层面上的动态重定位技术代码重定位的挑战包括处理动态分配的内存、递归函数、库函数调用等复杂情况。在实际应用中,为了保证正确性,需要对...
代码重定位和虚拟内存.pptx
08-09
代码重定位和虚拟内存 代码重定位是指在编译连接后,将代码从一种存储器移到另一种存储器的过程。重定位的目的是为了在不同的存储器中运行代码。例如,在ROM或FLASH中存储的代码需要被搬运到RAM中以便执行。 代码...
PE重定位练习
10-07
PE重定位是一项关键的进程加载技术,它涉及到在内存中正确放置代码和数据,以便程序能正常运行。当我们谈论"PE重定位练习"时,这通常是指通过实践来学习如何理解和处理PE文件的内存布局调整。 PE文件由多个部分组成...
sdram重定位
09-14
代码重定位尤其重要,因为它允许程序在不同的内存位置执行。在S3C2440上,Bootloader不仅要初始化SDRAM,还需要处理代码和数据的重定位,因为程序可能会被加载到不同于编译时预期的地址。 代码定位问题通常出现在...
远程代码/进程注入和重定位
04-08
远程代码/进程注入和重定位是计算机编程中的高级技术,主要应用于系统监控、调试、恶意软件行为以及合法的安全工具中。这项技术涉及到在运行时将一个程序或代码块放入另一个正在运行的进程的地址空间中执行,从而...
Vcpkg使用方法
tutucoo
12-18 8906
概观 Vcpkg可帮助您管理Windows,Linux和MacOS上的C和C ++库。这个工具和生态系统在不断发展; 您的参与对其成功至关重要! 开始 使用管理员身份打开powershell后,依次执行以下指令 git clone https://github.com/Microsoft/vcpkg.git cd vcpkg .\bootstrap-vcpkg.bat .\vcpkg integr...
detours钩子库的简单使用
tutucoo
12-24 4384
detours是微软的钩子库,以下是简单的使用 #include "pch.h" #include <Windows.h> #include "detours.h" #include <stdio.h> #pragma comment(lib,"detours.lib") static int(WINAPI* OLD_MessageBoxW)(HWND hWnd, LP...
手动获取函数地址
tutucoo
11-27 2941
编写病毒程序时,由于各种原因不能直接调用函数,所以需要手动获取到函数然后调用它。最常见手动获取函数地址的方法是通过获取kernel32.dll句柄,然后遍历kernel32.dll的导出表找到它的GetProcAddress()函数,再通过向这个函数传递函数名就可以获取函数的地址了,最后通过一个函数指针就可以调用获取的函数。 主要步骤 1.通过fs寄存器获取到TEB的地址 2.通过teb+0x30...
Windows网络编程(七):原始套接字开发
tutucoo
11-25 1867
在调用socket()函数时,如果将第二个参数填为SOCK_RAW,代表创建的是原始套接字类型,第三个参数可以选择IPPROTO_ICMP、IPPROTO_TCP、IPPROTO和IPPROTO_RAW。 #include <winsock2.h> #pragma comment (lib, "ws2_32") struct icmp_header { unsigned char...
代码重定位与虚拟内存:原理与Linux实例解析
代码重定位和虚拟内存是计算机系统中的关键概念,尤其在操作系统如Linux中发挥着重要作用。本讲解由国创中心的张雪凯于2021年8月3日提供,主要内容分为两个部分:代码重定位和虚拟内存的必要性及实现。 1. **代码重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值