[转载]病毒是如何查询自身内存位置的
信息来源:asmvirus.yeah.net[quote]
病毒在感染可执行文件后,自己的运行位置可能发生了变化,这时要正确访问病毒变量修要做一点额外工作
病毒正确的访问病毒变量Var(1234h)
call GetBase
GetBase:
pop ax
add ax,offset Var-offset GetBase
mov ax,word ptr[ax] ;访问病毒变量
Var
dw 1234h
直接用系列指令将会可能引起错误
mov ax,Var
更精妙一点的做法是,它还可以干扰反汇编程序的静态分析
call GetVarBase
GetVarBase:
dw 1234h
pop ax
mov ax,word ptr[ax]
[/quote] 病毒开发资源指南![url]www.chinasec.net[/url]
注:空间不太稳,不能访问时,多刷新几次。
页:
[1]