[转载]病毒是如何查询自身内存位置的

天下奇毒

晶莹剔透§烈日灼然

Rank: 1

帖子: 184
精华: 8
积分: 430
阅读权限: 40
性别: 男
来自: 湖南
在线时间: 6 小时
注册时间: 2004-7-30
最后登录: 2008-5-8

发短消息
加为好友
当前离线

楼主大中小发表于 2005-3-19 13:53 只看该作者

[转载]病毒是如何查询自身内存位置的

信息来源：asmvirus.yeah.net

引用:

病毒在感染可执行文件后,自己的运行位置可能发生了变化,这时要正确访问病毒变量修要做一点额外工作
病毒正确的访问病毒变量Var(1234h)
  call GetBase
GetBase:
  pop  ax
  add ax,offset Var-offset GetBase
  mov ax,word ptr[ax] ;访问病毒变量
Var
  dw 1234h
  直接用系列指令将会可能引起错误
  mov ax,Var
  更精妙一点的做法是,它还可以干扰反汇编程序的静态分析
  call GetVarBase
GetVarBase:
  dw 1234h
  pop ax
  mov ax,word ptr[ax]

TOP

virx

晶莹剔透§烈日灼然

Rank: 1

帖子: 2
精华: 0
积分: 3
阅读权限: 40
性别: 男
在线时间: 0 小时
注册时间: 2005-3-29
最后登录: 2005-4-13

发短消息
加为好友
当前离线

沙发大中小发表于 2005-4-7 14:12 只看该作者

病毒开发资源指南！www.chinasec.net
注：空间不太稳，不能访问时，多刷新几次。

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 各类程序语言{ Program Development } » 机器细语[ ASM ] » [转载]病毒是如何查询自身内存位置的