-
-
[求助]外壳的重定位问题
-
发表于: 2006-12-25 16:08
-
软件加密技术内幕第六章外壳其中一段代码如下:
ShellStart0:
call next0
;********************
ImportTableBegin:
ImportTable DD AddressFirst-ImportTable
DD 0,0
AppImpRVA1 DD DllName-ImportTable
AppImpRVA2 DD AddressFirst-ImportTable
DD 0,0,0,0,0
AddressFirst DD FirstFunc-ImportTable
AddressSecond DD SecondFunc-ImportTable
AddressThird DD ThirdFunc-ImportTable
DD 0
DllName DB 'KERNEL32.dll'
DW 0
FirstFunc DW 0
DB 'GetProcAddress',0
SecondFunc DW 0
DB 'GetModuleHandleA',0
ThirdFunc DW 0
DB 'LoadLibraryA',0
ImportTableEnd:
ShellBase DD 0
ShellPackSize DD 0
Virtualalloc DB 'VirtualAlloc',0
VirtualallocADDR DD 0
TlsTable DB 18h dup (?)
next0:
pop ebp 这里把next0地址放到ebp中吧?
sub ebp,(ImportTable-ShellStart0) 这里注释为取得shellStart0的地址,请问ebp是如何成为shellStart0的地址的呢?
我至今换算不过来
ShellStart0:
call next0
;********************
ImportTableBegin:
ImportTable DD AddressFirst-ImportTable
DD 0,0
AppImpRVA1 DD DllName-ImportTable
AppImpRVA2 DD AddressFirst-ImportTable
DD 0,0,0,0,0
AddressFirst DD FirstFunc-ImportTable
AddressSecond DD SecondFunc-ImportTable
AddressThird DD ThirdFunc-ImportTable
DD 0
DllName DB 'KERNEL32.dll'
DW 0
FirstFunc DW 0
DB 'GetProcAddress',0
SecondFunc DW 0
DB 'GetModuleHandleA',0
ThirdFunc DW 0
DB 'LoadLibraryA',0
ImportTableEnd:
ShellBase DD 0
ShellPackSize DD 0
Virtualalloc DB 'VirtualAlloc',0
VirtualallocADDR DD 0
TlsTable DB 18h dup (?)
next0:
pop ebp 这里把next0地址放到ebp中吧?
sub ebp,(ImportTable-ShellStart0) 这里注释为取得shellStart0的地址,请问ebp是如何成为shellStart0的地址的呢?
我至今换算不过来
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
结合解释再次看了看汇编书中运行时堆栈的展开.终于懂了,谢楼上几位的指点
sub ebp,(ImportTable-ShellStart0)这句执行减操作前ebp就放着ImportTable的地址,ImportTable-(ImportTable-ShellStart0)=ImportTable-ImportTable+ShellStart0=ShellStart0 Am I right? 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
