计算机病毒——Call To Pop技巧

最新推荐文章于 2023-07-27 14:28:01 发布

ykkz000

最新推荐文章于 2023-07-27 14:28:01 发布

阅读量466

点赞数

CC 4.0 BY-SA版权

分类专栏：计算机病毒

本文链接：https://blog.youkuaiyun.com/qq_39721774/article/details/99686064

计算机病毒专栏收录该内容

4 篇文章

订阅专栏

本文深入探讨了计算机病毒中使用的CallToPop技巧，解释了其工作原理及如何帮助病毒获取绝对地址。通过典型实例和变形手法，展示了病毒作者如何利用这一技巧隐蔽地插入宿主程序。同时，分析了W32/Kris病毒中CallToPop的实际应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

计算机病毒——Call To Pop技巧

为什么使用Call To Pop
Call To Pop实例

为什么使用Call To Pop

计算机病毒需要将自己插入宿主中，绝对地址难以获取，运行时虽然我们不能读写EIP，但是call指令会将当前指令的下一指令地址压入栈，方便获取。

Call To Pop实例

典型Call To Pop

Call_To_Pop:
	call Next
Next:
	pop eax

此时eax中储存着Next的地址。(由于call Next是相对地址，因此call Next处不需要重定位)

变形Call To Pop

典型Call To Pop很容易作为病毒的标志，因此可以进行变形。
下面是博主的想法：

变形1

Need_To_Get_Address:
	call Next
Next:
	mov eax,[eap]
	add esp,4

变形2

Need_To_Get_Address:
	call Next
Next:
	mov eax,DWORD ;DWORD随便定个常数即可
	xor eax,[eap]
	xor eax,DWORD
	add esp,4

W32/Kris中的应用(来自《计算机病毒防护技术》一书)

0040601A	E807000000		call 004060
0040601F	34F4			xor al,F4
00406021	F0A4			lock movsb
00406023	288C085EB934AC	sub [eax + ecx - 53CB46A2],cl
0040602A	0200			add al,[eax]

(看了之后一头雾水)

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ykkz000

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

数学建模论文 ——中小微企业的信贷决策

wang4518的博客

07-25

3611

中小微企业的信贷决策摘要本文针对中小微企业的信贷决策问题，建立了基于层次分析法的信贷策略优化模型，解决了银行对 123 家企业贷款金额分配的问题。构建了 0-1 整数规划的信贷策略模型，实现了无信贷记录企业贷款金额的分配。建立了基于道格拉斯函数的信贷调整策略模型，制定了突发情况下一亿元信贷额度的分配方案。针对问题一，建立了基于层次分析法的信贷策略优化模型，解决了银行对 123 家企业贷款金额分配的问题。首先，对数据进行筛查，保留有效发票的资金来往数据，并根据进项、销项发票信息，剔除利润率

网络安全渗透测试——名词解释

weixin_43778463的博客

10-12

3948

常用术语解释

参与评论您还未登录，请先登录后发表或查看评论

代码重定位技术

輚至消亡

07-27

502

本来每个进程都各自的进程地址空间, 但如果使用了比如注入技术后, 自身的那段代码就会进入到别人的进程地址空间内, 这将导致内部使用的API地址和变量地址发生变化, 因为注入到的位置和自身在自己进程地址空间种的基址很可能会不一样。

软件漏洞的利用和发现（笔记）

weixin_45561874的博客

10-30

2887

1.漏洞利用与Exploit 漏洞从发现到产生实际危害的整个过程可分为漏洞挖掘、漏洞分析、漏洞利用三个阶段。无论通过哪种形式进行攻击,其都有一个共同特点，即通过触发漏洞来隐蔽地执行恶意代码。而用来触发漏洞并完成恶意操作的这个程序则通常被称为Exploit。 Exploit结构一个经典的比喻就是把漏洞利用比作导弹发射过程: Exploit、Payload和Shellcode可分别对应于导弹发射装置、导弹和弹头: Exploit 类似导弹发射装置，针对目标发射出导弹(Payload)，导弹到达目标之后，释

获取当前指令地址汇编指令2

JUST DO IT.

06-18

2831

call addressa addressa pop eax ret 这种方法利用了call指令会在栈上保存ip值，之后pop就可以使某寄存器获取为该ip值了。

动态获取API的地址

weixin_43575859的博客

03-18

1294

原理：现在虽然大部分Win32程序都使用ExitProcess函数来终止执行，但是其实用ret指令也是可以的。我们的应用程序的主程序可以被看成是一个被Windows调用的子程序。当父进程要创建一个子进程时，它会调用Kernel32.dll中的CreateProcess函数，CreateProcess函数在完成装载应用程序后，就会把一个返回地址用push压入栈，这个返回地址是子进程用ret来结束...

恶意代码分析-第十九章-shellcode分析

每昔的博客

09-13

2119

笔记 shellcode：一个可执行代码的有效载荷，包含可执行代码加载shellcode分析：在IDApro中分析时，选择处理器类型Interl 80x86 processers，并选择32-bit disassembly 使用位置无关代码：第一条和第二条指令都是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来计算。所以是位置无关代码第三条指令是一个访问全局数...

Network - 计算机网络复习总结

陆讯

04-19

1万+

第一章概述计算机网络（简称网络）把许多计算机连接在一起，而互联网则把许多网络连接在一起，是网络的网络。因特网是世界上最大的互联网。以小写字母i开始的internet(互联网或互连网)是通用名词，它泛指由多个计算机网络互连而成的网络。在这些网络之间的通信协议（即通信规则）可以是任意的。以大写字母I开始的Internet（因特网）是专有名词，它指当前全球最大的、开放的、由众多网络相互连接而成的特

恶意代码的亲密接触——病毒编程技术（上）

发现之旅

08-20

2401

文 / 温玉洁　　生活在网络时代，无论是作为一名程序员抑或是作为一名普通的电脑使用者，对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道，从另外一个角度来看，也是病毒得以传播和滋生的温床，有资料显示，未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒，在人们通过网络查阅信息、交换文件、收听视频时正在悄悄地传播。这些病毒或蠕虫不仅

认识端口与计算机入侵防范

幸福诗歌的博客

05-13

977

网络攻击在网络世界一直是客观存在的，昨晚的比特币勒索也是大概率事件，对于个人计算机用户来说，只能做到防患于未然了。1.网络攻击：自己以前总结的网络攻击一些常见类型： http://blog.youkuaiyun.com/boke14122621/article/details/70667299 2.一些常用服务的端口：查看开启的端口： cmd: netstat -a 1、21端口：端口说明

汇编获取当前执行位置方法总结

jmp esp

07-05

3116

call-popglobal _start section .text _start: call next_ins next_ins: pop rax ; rax holds current pc ret ; nasm -felf64 test.S && ld -o test test.o这种方法利用了call的时候会在栈上保存ip值，之后pop就可以使某寄存器获取

Push, Pop, call, leave 和 Ret 指令图解

热门推荐

striver1205的专栏

05-14

6万+

帧栈结构图：最近在研究如何在程序crash定位出错函数，补充的计算机系统基础知识。此篇主要是介绍IA32中帧栈结构(frame stack).

汇编指令push,mov,call,pop,leave,ret建立与释放栈的过程

liu_if_else的博客

05-28

2万+

感觉这东西有点烧脑，花了一下午时间终于整个捋顺了整个流程。想理解好此过程，理解每个指令的作用，必须结合指令行地址，栈地址和寄存器一起来分析，否则很容易被绕晕。大图图片说明：内存地址，汇编指令都为简写，用的十进制，栈空间1个格子大小是4*8=32位（对应32位操作系统），指令行长度应为1-6字节，都简化为1字节。为了简化汇编指令行，函数都没有参数。实际执行顺序一列中，左边为寄存器或栈空间地址，

神秘的call $+5 pop eax

magictong的专栏

05-28

7017

在进行病毒分析时，或者调试漏洞的shellcode时，经常看到标题中的指令流（E800000000 58，第二条肯定是pop指令，但是目的寄存器不一定是eax），这是干什么的呢？看起来貌似很神秘，其实结合前后代码的意图可以知道（进行实时调试），最终eax中存放的数据是0x00413935（就上面的代码），而这个0x00413935，恰好就是pop eax指令的地址，因此实际

异或加密

Xor0ne

02-28

1345

这几天试了好几次都只是半成半不成的样子，索性今天花时间写下来吧，一些不懂的东西在以后的实践中慢慢探寻吧。哈哈，写文章的时候竟然运行成功了。赞???? 文章目录（1）、形成shellcode（2）、Xor加密shellcode（3）、类循环解密最后附上成功的代码啦: 利用的是Messagebox()弹框进行XOR加密。（1）、形成shellcode 以下代码是shellcdoe的汇编代码、形成后的代码...

栈和栈帧（一）

liuyinandabendan的专栏

01-04

1046

栈可以理解为一块存储空间。而栈帧是栈的一部分，是在栈中专门为一个过程或者说一个函数分配的栈空间。栈的功能主要是用来存储过程参数，存储返回信息，保存寄存器，存储本地变量。事实上这四个功能中的前三个主要是为了实现一个目标--函数调用。也就是在一个函数中调用其他函数。例如已有一个函数p，在这个函数中要调用另一个函数q。这个过程需要栈的支持，也就是要实现的几个功能。p称为调用者，而

【逆向】【Part 1】Windows基础知识

lanlanla的成长历程

01-08

2132

目录 1.Win32的软硬件平台 1.80X86系列处理器 2.80X86处理器的工作模式 2.Windows内存管理 1）实模式下的寻址方式 2）保护模式下的内存寻址 3）内存分页机制 4）Windows的内存安排 3.Windows的特权保护 1.80386的中断和异常（1）80386实模式下的中断和异常处理（2）80386保护模式下的中断和异常处理 2.8038...

push/pop堆栈指令

weixin_33711641的博客

05-16

3190

堆栈是存储器中专用的缓冲区，用于暂存寄存器数据或地址指针，push/pop就用于堆栈的操作，这两个指令一般用在： 1、子程序调用，为了保护现场，把所要用的寄存器中的内容先暂时保存起来，在子程序调用结束之前，按照先进后出的原则，把数据恢复。 2、有时候，需要临时用一下某些寄存器，也可用一下，凭个人喜好；这两个指令必须成对使用（特殊用途除外），你只要压入了那些东西，并且知...

电话录音软件源码工具——Call Recorder

它可能包含在多种平台中，比如智能手机应用程序、电话系统或者计算机软件。由于描述部分提供的信息为“NULL”，我们无法从中获得额外的知识点，因此将集中于标题和标签所提供的内容。博文链接指向的网页内容未提供...