[Anti Virus专题]1.2 - 1.病毒的重定位技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[Anti Virus专题]1.2 - 1.病毒的重定位技术

2009-4-9 21:22 33418

[Anti Virus专题]1.2 - 1.病毒的重定位技术

xfish

2009-4-9 21:22

33418

查看主题内容

收藏・31

点赞・7

打赏

最新回复 (54) ◀ 1 2 3 ▶
hatling 雪币： 227 活跃值： (383) 能力值： ( LV10，RANK：170 ) 在线值：发帖 45 回帖 218 粉丝 5 关注私信	hatling 3 2009-4-16 15:34 26 楼 0 我觉得应该改为 ...... sub ebx,Dels lea edx,[ebx+szData] .......
cham 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 194 粉丝 0 关注私信	cham 2009-4-16 17:35 27 楼 0 [QUOTE=hatling;607581]我觉得应该改为 ...... sub ebx,Dels lea edx,[ebx+szData] ....... [/QUOTE] 这两个不是一样的么！
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 115 粉丝 4 关注私信	xfish 5 2009-4-16 21:09 28 楼 0 to recnad: to hatling: 你们的一个是sub ebx, dels 一个是lea ebx, [ebx - Dels] 。多此一举。本身求出来dels的偏移，直接+相对偏移就是重定位地址了。。
yangras 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	yangras 2009-4-18 15:32 29 楼 0 明白了 ...
gybison 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	gybison 2009-4-19 02:29 30 楼 0 弱弱的问一下，pop ebx之后，程序ret时又返回到哪里去了？不解
StarWing 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	StarWing 2009-4-19 03:34 31 楼 0 貌似还有一种方法，是《Windows核心编程》里面的。说是在需要字符串入栈的地方，直接call，如下： call arg2 db "text2",0 arg2: call arg1 db "text1",0 arg1: ... 但是照你这么说的话，call就应该是相对地址了。那么怎么让call把绝对地址入栈呢？我的想法是call far arg1，不知道对不对……希望楼主解释一下，谢谢~~~
recnad 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	recnad 2009-4-19 11:10 32 楼 0 [QUOTE=xfish;607729]to recnad: to hatling: 你们的一个是sub ebx, dels 一个是lea ebx, [ebx - Dels] 。多此一举。本身求出来dels的偏移，直接+相对偏移就是重定位地址了。。[/QUOTE] 直接+相对偏移就是重定位地址了, 但是这个相对偏移每次还要用变量的地址减去offset dels来算出, 这样写代码时也比较麻烦阿。
starhust 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	starhust 2009-4-22 09:35 33 楼 0 学习了，希望楼主讲的在详细点让我们这些小菜也能听懂啊
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 2009-4-26 19:39 34 楼 0 返回地址是call的返回地址，也就是dels
一转身雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	一转身 2009-4-27 14:11 35 楼 0 好文章，确实很好
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 2009-4-28 19:49 36 楼 0 光问问题没啥用,自己实践一下就会全明白楼主说的意思了~~~
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	圣新冰心 2009-5-6 15:22 37 楼 0 哎，还是老掉牙的法方重定位，杀软早就盯上了，其实还有其他方法，比如seh等
huzg胡雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	huzg胡 2009-5-13 15:41 38 楼 0 call Dels2 Dels: int 3 int 3 Dels2: pop ebx lea edx, [ebx + szText - Dels] ; edx = szText ret 先顶下，再问！请问楼主？ pop ebx ;这里出栈了，后面就直接ret，不会导致堆栈不平衡吗？
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 2009-5-22 22:08 39 楼 0 楼主是不是一不小心打错了哦，，，，，我也觉得不能ret啊，，，断点地址已经弹出来了，，，再ret的话就是一个未知地址了，，，我觉得程序肯定会出错，，， lea edx, [ebx + szText - Dels] ; edx = szText 后面应该直接执行到程序退出吧
felixzxh 雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	felixzxh 2009-5-24 16:41 40 楼 0 [QUOTE=hackerlx;629276]楼主是不是一不小心打错了哦，，，，，我也觉得不能ret啊，，，断点地址已经弹出来了，，，再ret的话就是一个未知地址了，，，我觉得程序肯定会出错，，， lea edx, [ebx + szText - Dels] ; edx = szText 后面应该直接执行到程序退出吧[/QUOTE] 有道理，是不是应该在pop后加个push呢
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 2009-5-24 21:28 41 楼 0 lea edx, [ebx + szText - Dels] ; edx = szText ret 不用加的. 加了程序就退出了.
feiyucq 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	feiyucq 2009-5-25 01:34 42 楼 0 好文，mark一下
AsmDebuger 雪币： 1270 活跃值： (104) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 359 粉丝 1 关注私信	AsmDebuger 1 2009-5-25 16:11 43 楼 0 [QUOTE=huzg胡;623300]call Dels2 Dels: int 3 int 3 Dels2: pop ebx lea edx, [ebx + szText - Dels] ; edx = szText ret 先顶下，再问！请问楼主...[/QUOTE] 这个ret是和“__Entry”配对用的，和重定位无关。楼主的意思这是个完整的子程序。
zcjzch 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zcjzch 2009-5-31 22:47 44 楼 0 好文，终于明白了！
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 343 粉丝 0 关注私信	jordanpz 2009-6-11 22:52 45 楼 0 您的代码是看懂了但您说的还是看不懂,call Dels2, call Dels ?
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:45 46 楼 0 好文章,顶了
netknight 雪币： 372 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 66 粉丝 2 关注私信	netknight 1 2009-6-19 02:21 47 楼 0 看了很久才明白
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 2009-6-19 02:26 48 楼 0 学习了..比较清晰..感谢LZ
Mx￠Xgt 雪币： 654 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 79 回帖 581 粉丝 4 关注私信	Mx￠Xgt 7 2009-6-19 22:10 49 楼 0 感染后,Dels2 的地址和Dels1的地址不会变吗?
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 2009-6-26 17:28 50 楼 0 其实下面的两段代码是比较常见的。第一段：将数据写入代码段 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib .code start: push 0h call _text db 'title',0 _text: call _function db 'Maybe we can write something here!',0 _function: push 0h call MessageBox invoke ExitProcess,NULL end start 第二段：将数据写入堆栈。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib .code start: mov ebx,00000065h push ebx mov ebx,6c746974h push ebx mov eax,esp mov ebx,00002165h push ebx mov ebx,72656820h push ebx mov ebx,676e6968h push ebx mov ebx,74656d6fh push ebx mov ebx,73206574h push ebx mov ebx,69727720h push ebx mov ebx,6e616320h push ebx mov ebx,65772065h push ebx mov ebx,6279614dh push ebx mov ebx,esp push 0 push eax push ebx push 0 call MessageBox pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax invoke ExitProcess,NULL end start 编译运行后图示如下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

xfish

发帖

115

回帖

220

RANK

关注

私信

他的文章

[推荐]黑客防线月刊2期征稿

[Anti Virus专题]1.7 - 打造DLL内存加载引擎.

[Anti Virus专题]长度反汇编引擎的打造

[Anti Virus专题]1.2 - 4.PE结构、SEH相关知识掌握

[Anti Virus专题]1.2 - 3.hash扫描获得api函数地址

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) ◀ 1 2 3 ▶
hatling 雪币： 227 活跃值： (383) 能力值： ( LV10，RANK：170 ) 在线值：发帖 45 回帖 218 粉丝 5 关注私信	hatling 3 2009-4-16 15:34 26 楼 0 我觉得应该改为 ...... sub ebx,Dels lea edx,[ebx+szData] .......
cham 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 194 粉丝 0 关注私信	cham 2009-4-16 17:35 27 楼 0 [QUOTE=hatling;607581]我觉得应该改为 ...... sub ebx,Dels lea edx,[ebx+szData] ....... [/QUOTE] 这两个不是一样的么！
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 115 粉丝 4 关注私信	xfish 5 2009-4-16 21:09 28 楼 0 to recnad: to hatling: 你们的一个是sub ebx, dels 一个是lea ebx, [ebx - Dels] 。多此一举。本身求出来dels的偏移，直接+相对偏移就是重定位地址了。。
yangras 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	yangras 2009-4-18 15:32 29 楼 0 明白了 ...
gybison 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	gybison 2009-4-19 02:29 30 楼 0 弱弱的问一下，pop ebx之后，程序ret时又返回到哪里去了？不解
StarWing 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	StarWing 2009-4-19 03:34 31 楼 0 貌似还有一种方法，是《Windows核心编程》里面的。说是在需要字符串入栈的地方，直接call，如下： call arg2 db "text2",0 arg2: call arg1 db "text1",0 arg1: ... 但是照你这么说的话，call就应该是相对地址了。那么怎么让call把绝对地址入栈呢？我的想法是call far arg1，不知道对不对……希望楼主解释一下，谢谢~~~
recnad 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	recnad 2009-4-19 11:10 32 楼 0 [QUOTE=xfish;607729]to recnad: to hatling: 你们的一个是sub ebx, dels 一个是lea ebx, [ebx - Dels] 。多此一举。本身求出来dels的偏移，直接+相对偏移就是重定位地址了。。[/QUOTE] 直接+相对偏移就是重定位地址了, 但是这个相对偏移每次还要用变量的地址减去offset dels来算出, 这样写代码时也比较麻烦阿。
starhust 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	starhust 2009-4-22 09:35 33 楼 0 学习了，希望楼主讲的在详细点让我们这些小菜也能听懂啊
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 2009-4-26 19:39 34 楼 0 返回地址是call的返回地址，也就是dels
一转身雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	一转身 2009-4-27 14:11 35 楼 0 好文章，确实很好
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 2009-4-28 19:49 36 楼 0 光问问题没啥用,自己实践一下就会全明白楼主说的意思了~~~
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	圣新冰心 2009-5-6 15:22 37 楼 0 哎，还是老掉牙的法方重定位，杀软早就盯上了，其实还有其他方法，比如seh等
huzg胡雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	huzg胡 2009-5-13 15:41 38 楼 0 call Dels2 Dels: int 3 int 3 Dels2: pop ebx lea edx, [ebx + szText - Dels] ; edx = szText ret 先顶下，再问！请问楼主？ pop ebx ;这里出栈了，后面就直接ret，不会导致堆栈不平衡吗？
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 2009-5-22 22:08 39 楼 0 楼主是不是一不小心打错了哦，，，，，我也觉得不能ret啊，，，断点地址已经弹出来了，，，再ret的话就是一个未知地址了，，，我觉得程序肯定会出错，，， lea edx, [ebx + szText - Dels] ; edx = szText 后面应该直接执行到程序退出吧
felixzxh 雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	felixzxh 2009-5-24 16:41 40 楼 0 [QUOTE=hackerlx;629276]楼主是不是一不小心打错了哦，，，，，我也觉得不能ret啊，，，断点地址已经弹出来了，，，再ret的话就是一个未知地址了，，，我觉得程序肯定会出错，，， lea edx, [ebx + szText - Dels] ; edx = szText 后面应该直接执行到程序退出吧[/QUOTE] 有道理，是不是应该在pop后加个push呢
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 2009-5-24 21:28 41 楼 0 lea edx, [ebx + szText - Dels] ; edx = szText ret 不用加的. 加了程序就退出了.
feiyucq 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	feiyucq 2009-5-25 01:34 42 楼 0 好文，mark一下
AsmDebuger 雪币： 1270 活跃值： (104) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 359 粉丝 1 关注私信	AsmDebuger 1 2009-5-25 16:11 43 楼 0 [QUOTE=huzg胡;623300]call Dels2 Dels: int 3 int 3 Dels2: pop ebx lea edx, [ebx + szText - Dels] ; edx = szText ret 先顶下，再问！请问楼主...[/QUOTE] 这个ret是和“__Entry”配对用的，和重定位无关。楼主的意思这是个完整的子程序。
zcjzch 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zcjzch 2009-5-31 22:47 44 楼 0 好文，终于明白了！
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 343 粉丝 0 关注私信	jordanpz 2009-6-11 22:52 45 楼 0 您的代码是看懂了但您说的还是看不懂,call Dels2, call Dels ?
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:45 46 楼 0 好文章,顶了
netknight 雪币： 372 活跃值： (36) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 66 粉丝 2 关注私信	netknight 1 2009-6-19 02:21 47 楼 0 看了很久才明白
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 2009-6-19 02:26 48 楼 0 学习了..比较清晰..感谢LZ
Mx￠Xgt 雪币： 654 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 79 回帖 581 粉丝 4 关注私信	Mx￠Xgt 7 2009-6-19 22:10 49 楼 0 感染后,Dels2 的地址和Dels1的地址不会变吗?
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 2009-6-26 17:28 50 楼 0 其实下面的两段代码是比较常见的。第一段：将数据写入代码段 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib .code start: push 0h call _text db 'title',0 _text: call _function db 'Maybe we can write something here!',0 _function: push 0h call MessageBox invoke ExitProcess,NULL end start 第二段：将数据写入堆栈。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib .code start: mov ebx,00000065h push ebx mov ebx,6c746974h push ebx mov eax,esp mov ebx,00002165h push ebx mov ebx,72656820h push ebx mov ebx,676e6968h push ebx mov ebx,74656d6fh push ebx mov ebx,73206574h push ebx mov ebx,69727720h push ebx mov ebx,6e616320h push ebx mov ebx,65772065h push ebx mov ebx,6279614dh push ebx mov ebx,esp push 0 push eax push ebx push 0 call MessageBox pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax pop eax invoke ExitProcess,NULL end start 编译运行后图示如下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复