摘要:
Lea是返回偏移地址,对于 Lea EAX,s1 这样很好解释,就是返回变量s1的偏移地址 Lea EAX,[EBX+10]就比较复杂了 [EBX+10]表示EBX+10后作为地址,此地址指向位置的值,取的是EBX+10地址内的内容。 那Lea究竟是把这个内容作为地址存入EAX,还是把这个内容的地址赋给EAX呢?如果是后者,那不是跟MOV EAX,EBX+10的效果一样了? 实际的效果应该是后者... 阅读全文
摘要:
Delphi关键字【内联汇编】 DELPHI内联汇编好象有得天独厚的优势,尤其是API的调用,处理好各成员参数后,可以直接CALL API名称。利用内联汇编我们可以为程序添加各种异常,添加反调试代码,添加花指令,还可以令某些难写的注册机简单化等.我把DELPHI内联汇编的一点点使用心得写出来,目的是想与大家交流,挖掘更多的这方面的领域。也希望大家能够指正一些错误。一、 数据... 阅读全文
摘要:
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)中正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。
在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成;
如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存.
实际上我们做的工作就是windows加载时要做的工作,代码如果通过windows来加载完成,那么相对偏移就会被windows重定位,与绝对地址的差值为0.
但是如果是手工加载,那么这个差值就与加载地址密切相关了. 阅读全文