病毒的重定位技术学习笔记

最新推荐文章于 2025-01-10 19:09:35 发布
最新推荐文章于 2025-01-10 19:09:35 发布
阅读量2.5k 收藏 4
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ProgrammingRing/article/details/11178747
版权
本文介绍了病毒重定位技术,通过内联汇编代码展示了如何在被感染程序中找到全局变量的位置。通过分析call指令和pop操作,解释了如何在不同地址空间下保持变量和指令间距离的不变性,从而实现病毒代码的正确执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题


下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码


int g_nTest;

__asm

{

                  call Dels

00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈

              Dels:

                  pop ebx

00401009 pop ebx ; 将栈中保存的地址弹到ebx中

                  lea eax, g_nTest

0040100A lea eax,ds:[00401000h] ; 获得全局变量的地址

                 sub eax, Dels

00401010 sub eax,00401009h ; 获得全局变量和Dels的差值

                 lea

最低0.47元/天 解锁文章
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
初探计算机病毒(4)--重定位
长弓落日的专栏
06-30 1628
   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。     病毒作为一段代码附加到正常的程序中的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序中加载到内存中其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax,
病毒重定位的基本思路和方法
weixin_49816179的博客
12-17 510
熟悉Masm32的使用,熟悉病毒重定位的基本思路和方法,在 HelloWorld.exe 中添加一段代码, 该段代码满足以下几个条件:1.该段代码弹出一个对话框 (标题: 武大信安病毒重定位,内容: 姓 名+学号后四位) 2.该段代码同时包括代码和字符串数据。3. 该段代码可以插入到.text节的任意指令之间,而不需要修改该段代 码中的任何字节。
关于病毒重定位
daohua的专栏
05-10 2406
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
病毒重定位技术
why
06-20 2423
<br />病毒重定位技术<br /><br />  病毒重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。<br /><br />  首先我们来看<br /><br />假如我们定义一段变量  <br />    <br />  szText  db 'Virus Del
病毒重定位
BpLife
09-22 1381
一个典型的病毒重定位方法:                          call  _n                    _n:                        pop ebp                        sub  ebp,offset _n                                    这里offset是硬编码
病毒重定位技术1
落笔飞花笑百生的博客
04-27 759
 include 'win32ax.inc' use32 .code start: call $+5 ca: pop eax lea eax,[eax+sdata-ca] .end start section '.data' readable writeable sdata db "fuckyoursister!",0
代码重定位技术
tutucoo
11-29 351
int g_nTest; __asm { call Dels Dels: pop ebx lea eax, g_nTest sub eax, Dels lea edx, [ebx + eax] }...
Win32汇编学习笔记04.重定位与汇编引擎
彭于晏长沙分晏
01-04 1165
注机器码就是 把机器码写到对应进程里面去,写的地方不能覆盖它原本代码,否则会影响它原本的功能 ,可以去找一些空隙,但是这种方法不是很通用.最好的办法是 申请一块内存,把代码写进去,在调用线程去跑这个段代码。把字符串移进来,调试发现地址还是我们自己的地址,字符串地址需要调整,最好让他自己算.我们只要原来代码所在的地址,与新地址所在的差值,就可以推算出新字符串所在的地址。user32 在 同一台电脑上的 不同进程的地址是一样的,因此可以利用这一点,还要注意,我们写的代码位于代码段,必须修改才能写入。
《信息安全技术学习笔记02
m0_72683647的博客
11-13 1151
计算机病毒是一种计算机程序,它通过修改其他程序把它自己的一个拷贝或其演化的拷贝插入到其他程序中,从而感染它们。
笔记本维修技术基础教程
通过学习这些内容,维修人员能够进行有效的故障排除,快速修复笔记本的硬件或软件问题,同时也能够根据需要对笔记本进行升级。需要注意的是,对于一些复杂的硬件故障,可能需要专业的工具和技术人员进行修理。
病毒代码重定位技术
m0_57836225的博客
08-06 453
2. 避免破坏宿主文件功能:如果病毒直接使用固定的地址,可能会覆盖宿主文件的关键代码或数据,导致宿主文件无法正常运行,从而容易被用户察觉。相对地址是基于当前指令或数据的位置进行计算的,这样当病毒在宿主文件中的位置发生变化时,相对地址的计算结果仍然能够正确指向所需的资源。4. 动态链接库劫持:某些病毒通过劫持系统的动态链接库(DLL),修改其中的函数调用地址,从而实现重定位和自身代码的执行。这些方法使得病毒能够在不同的感染环境中保持功能,增加了其隐蔽性和生存能力,同时也给病毒的检测和清除带来了更大的挑战。
主存空间的动态重定位:内存管理中的精巧技术
最新发布
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
01-10 916
动态重定位是一种在运行时动态调整程序地址的技术。它通过在逻辑地址与物理地址之间建立一种映射关系,使程序可以独立于实际的物理内存布局而执行。这意味着程序的逻辑地址空间可以在加载到内存后根据需要被重新映射到不同的物理地址,而不需要修改程序本身的代码。在现代计算机系统中,动态重定位的实现通常依赖于硬件和操作系统的协作。
工程化中的重定位技术
weixin_43802726的博客
05-21 626
视觉slam辅助重定位,在一些特殊场景中,如存在相似重复场景的地图和长走廊等可以导致2d匹配退化(指任何位置都能得到很高的匹配得分,导致结果不唯一)的场景,一般需要对场景进行判断,如果无法通过2d匹配方法进行重定位则需要视觉重定位找回。桩上重定位,通过充电桩在地图中的位置,将充电桩位置发送给机器,同时发布全局地图,不需要机器做任何位置计算和运动,直接接收重定位位置点和地图的方式,通常用于位置找回。手动重定位,是指手动触发的重定位,手动推到地图中的某一位置,手动指定初始位姿,主动引导机器做的重定位
重定向技术简介
weixin_40183314的博客
12-06 840
1  字符集不对,字符就不对。      字符集是把字符转换为二进制码的编码,如果客户端使用了错误的字符集,就会显示一些奇怪的错乱字符。 2   DNS重定向            负载均衡算法            邻接路由算法            故障屏蔽算法   3    任播寻址       在任播寻址中,几个地理上分散的Web服务器拥有完全相同的ip地址
程序进行重定位技术重定位的时机分类
weixin_30551947的博客
07-02 564
对程序进行重定位技术重定位的时机可分为两种:静态重定位和动态重定位。 静态重定位:是在目标程序装入内存时,由装入程序对目标程序中的指令和数据的地址进行修改,即把程序的逻辑地址都改成实际的地址。对每个程序来说,这种地址变换只是在装入时一次完成,在程序运行期间不再进行重定位。 优点:是无需增加硬件地址转换机构,便于实现程序的静态连接。在早期计算机系统中大多采用这种方案。 缺点:(1)程序的存...
内存与重定位——重定位的理论与代码实践(涉及位置有/无关码)
主要记录嵌入式学习与开发过程。
04-11 3956
以下内容源于朱有鹏嵌入式课程的学习与整理,如有侵权请告知删除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值