一、重定位的原因
都说病毒第一步要重定位,那到底为什么要重定位呢?我们写正常程序的时候根本不用去关心变量(常量)的位置,因为源程序在编译的时候它的内存中的位置郡被计算好了。程序装入内存时,系统不会为它重定位。我们需要用到变量 (常量)的时候直接用变量名访问它就行了。
病毒不可避免也要用到变量 (常量),当病毒感染HOST程序后,由于其依附到HOST程序中的位置各有不同,病毒随着HOST载入内存后病毒中的各个变量 (常量)在内存中的位置自然也不相同。既然这些变量没有固定的地址,病毒在运行的过程中应该如何引用这些变量呢?所以,病毒只有自己帮助自己重定位,这样就可以正常地访问自己的相关资源了。
二、如何重定位
大家都知道CALL是一条函数调用指令,也可以当成是跳转指令。它可以跳到目的地址继续执行,执行完毕后,会返回到主程序继续执行。那系统如何知道返回地址的呢?当CALL执行时,CPU首先把要返回的地址 (即下一条指令的地址)压火堆栈,然后跳到我们目的地址执行。可以看出,在跳转之后只要执行一条POP指令或MOVEXX,[ESP]就可以得到下一条指令在内存中的实际位置了。其实,对于任何一个变量,我们都可以采用这种方式进行重定位。
好了,原理都讲完了,现在让我们总结一下重定位的基本步骤 (这里假设下一条指令为I1):
(1)用CALL指令跳转到下一条指令,使I1在内存中的实际地址进栈。
(2)用POP或MOV EXX,[ESP]取出栈顶的内容,这样就得到了I1的地址 (BaSe)。
(3)其他指令 (变量、常量)的实际地址就等于Base+(0ffSetLabe1-OffSet vstart)。
三、实例说明
现在,就让我们看一下重定位的具体代码。
这里VStart这个标号的位置就是I1的位置了。下面看看代码是怎么实现的:Ca1lVStart跳到vStart,然后pop ebX把堆栈顶端的内容 (即VStart在内存中的地址)放到ebx。这样。以后用到其他变量的时候就可以用ebX+(OffSet XXX-OffSet VStart)得到其在内存中的真正偏移地址了。
call vstart
vstart:
pop ebx
;定义为I1指定
下面再具体一点。譬如我们想取变量abc的内容时,则可先取地址到esi中,然后使用 "mov eax,[esi]"指令即可得到abC的内容。
abc dd 0
...
call vstart
vstart:pop ebx
...
lea esi,[ebx+(abc-vstart}]
上面我们提到偏移地址可以通过ebx+(Offset XXX-OffSet VStart)计算得到。我们通常也可以看到如下重定位方式:
abc dd.0
...
call vstart
vstart:
pop ebx
sub ebx,offset vstart
...
mov eax,[ebx+abc]
其实这和上面那种方法最终结果是一样的,只不过是换了一种形式,即 (ebX-0ffSetVStart)+OffSet XXX。另外,在实际过程中还会碰到其他重定位方式,并且需要重定位的绝对不仅局限于变量和常量,不过所有原理都是一样的。
