病毒的重定位技术

最新推荐文章于 2025-01-10 19:09:35 发布
原创 最新推荐文章于 2025-01-10 19:09:35 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#编译器

本文介绍了病毒的重定位技术,这是一种让病毒代码在运行时计算插入到被感染对象后变量新地址的方法。通过理解call指令的运作,找到一个运行时可计算的地址,加上变量相对于该地址的偏移,即可得到变量在被感染对象中的位置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

病毒的重定位技术

  病毒的重定位技术应该也算是最基本和最有用的技术之一了,其实重定位技术只要是对外壳开发比较熟悉的朋友都应该很熟悉了。重定位顾名思义重新定位地址。上篇文章中我们已经讲解到了由于我们被感染对象的不同,我们部分定义的变量被插入的地址也不同。所以这就需要我们重新定位,也就是今天的主题——重定位技术。

  首先我们来看

假如我们定义一段变量  
    
  szText  db 'Virus Dels Demo', 0

  假设我们这个变量在我们病毒体的地址是00403201h, 那么我们插入到被感染对象后这个变量的地址是00408602h。那么我们如何能让我们的病毒体代码在运行时期来计算到被插入被感染对象后变量的地址呢?
  
  我们思索下是否能找到一些固定的地方。有时候换位思考是很不错的,我们病毒体既然被插入的地址是不固定的,那么病毒体的一些绝对偏移它相对病毒体的偏移肯定是固定的吧。
  
  假设一个病毒的起始位置是00400021h,那么它插入到被感染对象后的位置是00500021h, 那么我们是不是只要知道一个变量相对于我们病毒起始位置的偏移就可以求得这个变量插入后的位置了?

  比如我们的szText变量相对于病毒起始位置的偏移是9h, 那么只要通过求得病毒插入到被感染对象后的病毒起始位置 + 这个变量相对病毒起始位置的偏移 =  变量在被感染对象中的位置。 

  是不是很好理解?

  继续思索: 

  我们如何求病毒被插入感染对象后的起始位置,它是可变的。 
    
&nb

最低0.47元/天 解锁文章

200万优质内容无限畅学
whypp
关注
病毒重定位技术学习笔记
ProgrammingRing的专栏
09-05 2576
原文链接:点击打开链接 下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码 int g_nTest; __asm { call Dels 00401004 call 013C13A3 ; call指令会将下一句指令的地址入栈 Dels: pop ebx 004
病毒重定位
BpLife
09-22 1384
一个典型的病毒重定位方法:                          call  _n                    _n:                        pop ebp                        sub  ebp,offset _n                                    这里offset是硬编码
病毒重定位技术1
落笔飞花笑百生的博客
04-27 762
 include 'win32ax.inc' use32 .code start: call $+5 ca: pop eax lea eax,[eax+sdata-ca] .end start section '.data' readable writeable sdata db "fuckyoursister!",0
关于病毒重定位
daohua的专栏
05-10 2411
今天写个关于病毒的,其实我所写的东西所是想到什么写什么,或者今天收获什么就写什么。很乱。病毒一般不独立存在,而是附在宿主中,很像生物病毒。关于病毒的特性有很多资料,我这里不多说。在病毒编写的时候是独立编译,而附在宿主时候成了某个程序的“附属物”。什么叫重定位,我也不能确切的说,但是我给出个例子,就能明白了。比如病毒代码里存在变量a,b。这个变量在编译后实际上拥有固定的“编译地址”,
Win32环境下病毒重定位原理详解
在"病毒重定位-2019下半年信息系统监理师真题及答案0226"这篇文档中,主要探讨的是计算机病毒中的关键技术之一——重定位。...5. 教材提供的理论基础和实用技能,对于防范和应对计算机病毒重定位具有指导意义。
计算机病毒及其防范技术.doc
最新发布
05-04
病毒重定位技术解决了病毒代码段在宿主程序中的相对地址难以计算的问题。木马是特洛伊木马的简称,是一种能够远程控制目标计算机的恶意程序,具备隐蔽性、自动运行性、欺骗性、自动恢复功能和特定功能。木马与一般...
初探计算机病毒(4)--重定位
长弓落日的专栏
06-30 1631
   上一篇解决了病毒程序调用API的问题,那么这是不是就万事大吉了呢?不,还有个问题需要解决,就是重定位。     病毒作为一段代码附加到正常的程序中的,其位置可能是随机的。比如病毒编译完成后,其运行首地址为0x04000000,但是附加到正常的程序中加载到内存中其首地址可能就变成0x08000000,那么很多直接访问内存的指令就会发生错误。比如加载到0x04000000时,指令mov eax,
病毒重定位的基本思路和方法
weixin_49816179的博客
12-17 523
熟悉Masm32的使用,熟悉病毒重定位的基本思路和方法,在 HelloWorld.exe 中添加一段代码, 该段代码满足以下几个条件:1.该段代码弹出一个对话框 (标题: 武大信安病毒重定位,内容: 姓 名+学号后四位) 2.该段代码同时包括代码和字符串数据。3. 该段代码可以插入到.text节的任意指令之间,而不需要修改该段代 码中的任何字节。
代码重定位技术
tutucoo
11-29 355
int g_nTest; __asm { call Dels Dels: pop ebx lea eax, g_nTest sub eax, Dels lea edx, [ebx + eax] }...
病毒代码重定位技术
m0_57836225的博客
08-06 463
2. 避免破坏宿主文件功能:如果病毒直接使用固定的地址,可能会覆盖宿主文件的关键代码或数据,导致宿主文件无法正常运行,从而容易被用户察觉。相对地址是基于当前指令或数据的位置进行计算的,这样当病毒在宿主文件中的位置发生变化时,相对地址的计算结果仍然能够正确指向所需的资源。4. 动态链接库劫持:某些病毒通过劫持系统的动态链接库(DLL),修改其中的函数调用地址,从而实现重定位和自身代码的执行。这些方法使得病毒能够在不同的感染环境中保持功能,增加了其隐蔽性和生存能力,同时也给病毒的检测和清除带来了更大的挑战。
主存空间的动态重定位:内存管理中的精巧技术
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
01-10 1025
动态重定位是一种在运行时动态调整程序地址的技术。它通过在逻辑地址与物理地址之间建立一种映射关系,使程序可以独立于实际的物理内存布局而执行。这意味着程序的逻辑地址空间可以在加载到内存后根据需要被重新映射到不同的物理地址,而不需要修改程序本身的代码。在现代计算机系统中,动态重定位的实现通常依赖于硬件和操作系统的协作。
工程化中的重定位技术
weixin_43802726的博客
05-21 675
视觉slam辅助重定位,在一些特殊场景中,如存在相似重复场景的地图和长走廊等可以导致2d匹配退化(指任何位置都能得到很高的匹配得分,导致结果不唯一)的场景,一般需要对场景进行判断,如果无法通过2d匹配方法进行重定位则需要视觉重定位找回。桩上重定位,通过充电桩在地图中的位置,将充电桩位置发送给机器,同时发布全局地图,不需要机器做任何位置计算和运动,直接接收重定位位置点和地图的方式,通常用于位置找回。手动重定位,是指手动触发的重定位,手动推到地图中的某一位置,手动指定初始位姿,主动引导机器做的重定位
重定向技术简介
weixin_40183314的博客
12-06 845
1  字符集不对,字符就不对。      字符集是把字符转换为二进制码的编码,如果客户端使用了错误的字符集,就会显示一些奇怪的错乱字符。 2   DNS重定向            负载均衡算法            邻接路由算法            故障屏蔽算法   3    任播寻址       在任播寻址中,几个地理上分散的Web服务器拥有完全相同的ip地址
程序进行重定位技术重定位的时机分类
weixin_30551947的博客
07-02 566
对程序进行重定位技术重定位的时机可分为两种:静态重定位和动态重定位。 静态重定位:是在目标程序装入内存时,由装入程序对目标程序中的指令和数据的地址进行修改,即把程序的逻辑地址都改成实际的地址。对每个程序来说,这种地址变换只是在装入时一次完成,在程序运行期间不再进行重定位。 优点:是无需增加硬件地址转换机构,便于实现程序的静态连接。在早期计算机系统中大多采用这种方案。 缺点:(1)程序的存...
内存与重定位——重定位的理论与代码实践(涉及位置有/无关码)
主要记录嵌入式学习与开发过程。
04-11 3979
以下内容源于朱有鹏嵌入式课程的学习与整理,如有侵权请告知删除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值