产业气象站 Windows PE 病毒的一百种方法,你中过招吗?,花式感染( 三 )
关键点:病毒代码目标寄生位置不固定
shellcode类似:通常需要注入远程系统 , 但这段代码在远程系统什么位置有时并不能确定 , 另外远程系统的环境有时也不能准确感知 , 故需要使用重定位和API函数自获取技术
①为什么需要重定位呢?
下面是一段源代码(PE最小文件案例) , 通过mas32编译生成的目标程序 。 源代码非常简单 , 就是调用invoke , 通过invoke调用MessageBox函数 , 包括四个参数;程序第二个语句是invoke调用退出 。 这里弹出对话框涉及两个字符串szCap和szMsgOK 。
invokeMessageBox,,addrszMsgOK,addrszCap,40h+1000h
【产业气象站 Windows PE 病毒的一百种方法,你中过招吗?,花式感染】invokeExitProcess,
更多内容↓↓↓
推荐阅读
- 【】河钢唐钢新区正式投产 河北钢铁产业区位调整取得关键性突破
- 央视新闻客户端|服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 央视网|直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 大众报业·海报新闻|海报时评丨推动新材料产业向更高端迈进
- 大众报业·海报新闻|山东新材料产业激活新动能——专访山东省新材料产业协会会长周传健,专访丨借鉴“华为模式”
- 服贸会冬季运动专题引关注 冰雪产业进入发展快车道
- 直通服贸会 | 服贸冬季运动专题展:激发大众冰雪热情 助力冰雪产业发展
- 杨驰原:面对电子棋牌产业创新发展,舆论监督要把握好“度”
- 龙之队|Windows10上触控板失灵的3种解决方案
- 方便食品|方便食品产业加速迭代创新 “螺蛳粉”“自热食品”成新增长点