c语言 计算机病毒,关于计算机病毒的定位问题

最新推荐文章于 2023-10-18 20:29:42 发布
最新推荐文章于 2023-10-18 20:29:42 发布
阅读量145 收藏
点赞数

c语言 计算机病毒

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

病毒的生存空间就是宿主程序,而因为宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。

那么病毒需要用到的变量的位置就无法确定。所以这就是病毒首先要重定位的原因。在我们编写程序的时候,

所用到的变量的位置都是相对与程序某一个位置的偏移,正常的程序加载的地址是唯一的,所以它们不需要

重定位。而病毒的加载是随机的所以就有了重定位的过程。虽然加载的位置不一定,但是变量到某一个位置

的偏移却是固定的。所以重定位的基本原理就是找到这个特殊的位置。具体的方法有很多种。这里说几种常见的。

1。call vstart

vstart: pop ebx

sub ebx,offset vstart

这种是最简单的。首先得到vstart在内存中的实际地址。offset vstart得到了vstart到这个特殊位置的偏

移,(下文用定位点代替)那么用vstart的在内存中的实际地址减去它到定位点的偏移就可以等到定位点在内

存中的地址了。在确定其它的变量的时候就可以用这个定位点加上变量的偏移了(即 add ebx,offset xxx).

2。vstart:

call getvs

getvs:

call getvs_01

getvs_01:pop ebx

sub ebx,offset getvs_01 - offset vstart

这种方法在原理上是一样的,只是把定位点具体成为vstart了,上面的代码就为是为了找到vstart在内存中的具

体位置。首先得到getvs_01在内存中的位置,然后减去get_01到vstart的偏移,这样就得到了vstart在内存中

的位置了。在确定其它的变量的时候只要用EBX加上这个这个变量到vstart的偏移就可以了

(即 add ebx,offset xxx -offset vstart).

以上两中最为常用,再说个要注意的问题,比如:

call vstart

aa: mov eax,1

..

..

vastart: pop ebx

sub ebx,offset vstart

像这样的代码就不能起到重定位的作用,因为pop ebx得到是aa的地址,用aa的地址减去vstart到定位点的偏移

得到的是什么呢?谁知道啊,我是不知道"),想让上面的代码起到定位的作用只要改一下减去的偏移就可以了。

call vstart

aa:mov eax,1

..

..

vastart:pop ebx

sub ebx,offset aa

对了,这里是不用理会aa:mov eax,1下面的代码的(当然如果有POP或PUSH那就不行了)还要唠叨一下,其实重

定位就是要找到一个起点,其它的变量都要根据他来找到自己哦,所以不管你用什么方法只要找到了这个起点就可以

实现重定位了。

weixin_29161785
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c语言计算机病毒程序代码,bat电脑病毒代码
weixin_28705087的博客
05-24 3521
病毒来自于一次偶然的事件,那时的研究人员为了计算出当时互联网的在线人数,然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞,有时一次突发的停电和偶然的错误.下面是学习啦小编收集整理的bat电脑病毒代码,希望对大家有帮助~~bat电脑病毒代码rem (注:原来站长我在读职高时,就用这一招来对付在上机时总是喜欢删别人文件(放在我自己所建目录下面的程序文件,这可是我辛辛苦苦用手敲打键盘搞出来的呀!)...
C 语言调用CPU指令,linux C语言调用Intel处理器CPUID指令的实例
weixin_30571837的博客
05-20 450
#include #include #include #include #include "cpuid.h"void get_cpu_vendor(char* cpu_vendor, int* cpuid_level){char vendor_name[16];vendor_name[0] = '\0'; /* Unset */int level = 0;struct cpuid_result r...
PWN之所谓的堆栈平衡,论layload中添加pop exx; ret 指令的作用
最新发布
ifthengg的博客
10-18 332
所谓的 堆栈平衡
汇编语言入门八:函数调用(二)
发展是曲折的但也是前进的
08-22 3698
回顾 上回说道,x86汇编中专门提供了两个指令call和ret,用于实现函数调用的效果。实际上函数调用就是程序跳转,只是在跳转之前,CPU会保存当前所在的位置(即返回地址),当函数返回时,又可以从调用的位置恢复。返回地址保存在一个叫做“堆栈”的地方,堆栈中可以保存很多个返回地址,同时借助于堆栈的进出逻辑,还能实现函数嵌套、递归等效果。 同时前面还简单地提到了函数调用过程中的参数和返回值
重定位的原理&实现
xuplus的专栏
04-15 7799
重定位  病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要在运行时动态确定其引用数据的地址,否则,引用数据时几乎肯定会发生错误。对于普通
又菜又爱玩的函数栈帧的创建与销毁
hsynbnb的博客
09-11 616
寄存器 寄存器 eax;ebx;ecx;edx 特别的 esp;ebp esp,ebp这两个寄存器是用来存放地址,来维护函数开辟的栈帧 函数每一次的调用都会在栈区开辟新的空间 调用逻辑 整体调用的逻辑 这里以一个简单程序为例子 #include<stdio.h> int Add(int x, int y) { int z = 0; z = x + y; return z; } int main() {
计算机基础填空题
10-28
6. 如果U盘处于“只读”状态,可以确保其在使用过程中不感染病毒。 7. 彩色显示器的色彩是由三基色合成而得到的。某显示器的三基色R、G、B分别用5位二进制数表示,则它可以表示32种不同的颜色。 8. 某CD-ROM驱动器的...
四川省职称计算机考试题库.pdf
10-11
2. 计算机病毒计算机病毒是一种恶意软件,能够自我复制并可能破坏计算机系统。它们通常隐藏在合法程序中,通过网络传播。 3. 存储单位换算:在计算机存储中,1MB等于1024KB,而1KB等于1024B。这种换算关系是基于...
计算机基础》课程标准.pdf
10-11
教学内容涵盖了计算机的产生与发展、计算机系统的基本组成、操作系统的功能、Windows 2010的基本操作、Word 2010、Excel 2010、PowerPoint 2010的使用,以及计算机病毒防治和计算机网络基础知识等。 总的来说,...
《大学计算机基础》复习题2.pdf
10-11
15. 确保计算机使用安全的外部设备或部件包括UPS电源、防病毒卡等。 16. 计算机的字长由数据总线的宽度决定,32位计算机一次可以处理32位数据。 17. 科学计算、数据处理、实时控制和辅助设计是计算机的代表性应用...
计算机基础与C语言程序设计(第三版).rar
06-18
6. 程序调试与错误处理:学会使用调试工具,理解错误类型和如何定位并解决问题。 7. 算法与数据结构:排序、搜索算法,数组、链表、树等基本数据结构的理解与实现。 8. 标准库函数:了解和利用C标准库提供的各种...
内功修炼《函数栈帧的创建和销毁》建议收藏
热门推荐
wh128341的博客
09-20 2万+
文章目录前言一、寄存器???? 寄存器的概念???? 通用寄存器的结构???? 指针寄存器和变址寄存器 前言 在前期的学习过程中,我们可能会有很多的困惑: 1️⃣ 局部变量是怎么创建的? 2️⃣ 为什么局部变量的值是随机值? 3️⃣ 函数是如何传参的?以及传参的顺序是怎样的? 4️⃣ 形参和实参是什么关系? 5️⃣ 函数调用是怎么做的? 6️⃣ 函数调用结束后是怎么返回的? ⚠ 这里使用的环境是 Visual Studio 2017 ,提示不要使用太过高级的编译器,因为越高级的编译器越不容易观察。同时这里需
神秘的call $+5 pop eax
magictong的专栏
05-28 6760
在进行病毒分析时,或者调试漏洞的shellcode时,经常看到标题中的指令流(E800000000 58,第二条肯定是pop指令,但是目的寄存器不一定是eax),这是干什么的呢?        看起来貌似很神秘,其实结合前后代码的意图可以知道(进行实时调试),最终eax中存放的数据是0x00413935(就上面的代码),而这个0x00413935,恰好就是pop eax指令的地址,因此实际
linux汇编push,在x86汇编中寄存器上使用的push / pop指令的功能是什么?
weixin_26786277的博客
05-17 1944
在阅读有关汇编程序的文章时,我经常遇到人们在写文件时他们推送处理器的某个寄存器并稍后再次弹出它以恢复它之前的状态。怎么能推一个寄存器? 它在哪里推? 为什么需要这个?这可归结为单处理器指令还是更复杂?警告:所有当前答案都以Intels汇编语法给出; 例如,AT&T语法中的push-pop使用像b,w,l或q这样的后置修复来表示被操作的内存的大小。 例如:pushl %eax和popl %eax@h...
病毒的重定位技术
why
06-20 2270
<br />病毒的重定位技术<br /><br />  病毒的重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。<br /><br />  首先我们来看<br /><br />假如我们定义一段变量  <br />    <br />  szText  db 'Virus Del
【C】深入浅出之函数栈帧
code farmer from sust
05-02 2162
函数栈帧、反汇编
关于病毒的重定位
daohua的专栏
05-10 2339
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
栈溢出练习(1)
Hk_Mayfly的博客
01-30 713
具体原理参考:ctf-wiki 测试文件:点击下载 栈溢出 原理 栈溢出的基本前提是 程序必须向栈上写入数据。 写入的数据大小没有被良好地控制。 例题 源码: #include <stdio.h> #include <string.h> void success() { puts("You hack me."); } void vulnerable() { ...
初探计算机病毒(4)--重定位
长弓落日的专栏
06-30 1532
   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。     病毒作为一段代码附加到正常的程序中的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序中加载到内存中其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值