病毒的重定位技术

病毒的重定位技术

  病毒的重定位技术应该也算是最基本和最有用的技术之一了，其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同，我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位，也就是今天的主题——重定位技术。

  首先我们来看

假如我们定义一段变量  
    
  szText  db 'Virus Dels Demo', 0

  假设我们这个变量在我们病毒体的地址是00403201h, 那么我们插入到被感染对象后这个变量的地址是00408602h。那么我们如何能让我们的病毒体代码在运行时期来计算到被插入被感染对象后变量的地址呢？
  
  我们思索下是否能找到一些固定的地方。有时候换位思考是很不错的，我们病毒体既然被插入的地址是不固定的，那么病毒体的一些绝对偏移它相对病毒体的偏移肯定是固定的吧。
  
  假设一个病毒的起始位置是00400021h,那么它插入到被感染对象后的位置是00500021h, 那么我们是不是只要知道一个变量相对于我们病毒起始位置的偏移就可以求得这个变量插入后的位置了？

  比如我们的szText变量相对于病毒起始位置的偏移是9h, 那么只要通过求得病毒插入到被感染对象后的病毒起始位置 + 这个变量相对病毒起始位置的偏移 =  变量在被感染对象中的位置。 

  是不是很好理解？

  继续思索: 

  我们如何求病毒被插入感染对象后的起始位置，它是可变的。 
    
  我们来看一下call指令, call指令是将下一句指令的偏移压入堆栈，然后设置eip寄存器指向要跳转的地址。

  看以下代码:  
  00401010 >/$  E8 00000000   ;call