第4章--DOS病毒的基本原理与DOS病毒分析.pptVIP

计算机病毒与反病毒技术 主要内容 病毒重定位的含义与基本方法 引导型病毒的基本原理 文件型病毒的基本原理 感染COM文件的基本方法及COM文件病毒的清除 感染EXE文件的基本方法及EXE文件病毒的清除 4.1.1 病毒为什么需要重定位 病毒不可避免也要用到变量(常量)，当病毒感染HOST程序后，由于其依附到不同HOST程序中的位置各有不同，病毒随着HOST载入内存后，病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化 4.1.2 病毒如何重定位 call delta ;这条语句执行之后，堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中 …… lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址 如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋(offset var1－offset delta)，即参考量delta在内存中的地址＋其它变量与参考量之间的距离=其它变量在内存中的真正地址 有时候我们也采用(ebp－offset delta)＋offset var1的形式进行变量