vstarry（vstart是什么）

大家好，我是小跳，我来为大家解答以上问题。vstarry，vstart是什么很多人还不知道，现在让我们一起来看看吧！

1、病毒的生存空间就是宿主程序，而因为宿主程序的不同。

2、所以病毒每次插入到宿主程序中的位置也不同。

3、那么病毒需要用到的变量的位置就无法确定。

4、所以这就是病毒首先要重定位的原因。

5、在我们编写程序的时候，所用到的变量的位置都是相对与程序某一个位置的偏移，正常的程序加载的地址是唯一的，所以它们不需要重定位。

6、而病毒的加载是随机的所以就有了重定位的过程。

7、虽然加载的位置不一定，但是变量到某一个位置的偏移却是固定的。

8、所以重定位的基本原理就是找到这个特殊的位置。

9、具体的方法有很多种。

10、这里说几种常见的。

11、 一、重定位的原因 都说病毒第一步要重定位，那到底为什么要重定位呢?我们写正常程序的时候根本不用去关心变量（常量）的位置，因为源程序在编译的时候它的内存中的位置郡被计算好了。

12、程序装入内存时，系统不会为它重定位。

13、我们需要用到变量 （常量）的时候直接用变量名访问它就行了。

14、 病毒不可避免也要用到变量 （常量），当病毒感染HOST程序后，由于其依附到HOST程序中的位置各有不同，病毒随着HOST载入内存后病毒中的各个变量 （常量）在内存中的位置自然也不相同。

15、既然这些变量没有固定的地址，病毒在运行的过程中应该如何引用这些变量呢?所以，病毒只有自己帮助自己重定位，这样就可以正常地访问自己的相关资源了。

16、 二、如何重定位 大家都知道CALL是一条函数调用指令，也可以当成是跳转指令。

17、它可以跳到目的地址继续执行，执行完毕后，会返回到主程序继续执行。

18、那系统如何知道返回地址的呢?当CALL执行时，CPU首先把要返回的地址 （即下一条指令的地址）压火堆栈，然后跳到我们目的地址执行。

19、可以看出，在跳转之后只要执行一条POP指令或MOVEXX，[ESP]就可以得到下一条指令在内存中的实际位置了。

20、其实，对于任何一个变量，我们都可以采用这种方式进行重定位。

21、 好了，原理都讲完了，现在让我们总结一下重定位的基本步骤 （这里假设下一条指令为I1）: （1）用CALL指令跳转到下一条指令，使I1在内存中的实际地址进栈。

22、 （2）用POP或MOV EXX，[ESP]取出栈顶的内容，这样就得到了I1的地址 （BaSe）。

23、 （3）其他指令 （变量、常量）的实际地址就等于Base+（0ffSetLabe1-OffSet vstart）。

24、 三、实例说明 现在，就让我们看一下重定位的具体代码。

25、 这里VStart这个标号的位置就是I1的位置了。

26、下面看看代码是怎么实现的:Ca1lVStart跳到vStart，然后pop ebX把堆栈顶端的内容 （即VStart在内存中的地址）放到ebx。

27、这样。

28、以后用到其他变量的时候就可以用ebX+（OffSet XXX-OffSet VStart）得到其在内存中的真正偏移地址了。

29、 call vstart vstart: pop ebx ;定义为I1指定 下面再具体一点。

30、譬如我们想取变量abc的内容时，则可先取地址到esi中，然后使用 "mov eax，[esi]"指令即可得到abC的内容。

31、 abc dd 0 ... call vstart vstart:pop ebx ... lea esi,[ebx+（abc-vstart}] 上面我们提到偏移地址可以通过ebx+（Offset XXX-OffSet VStart）计算得到。

32、我们通常也可以看到如下重定位方式: abc dd.0 ... call vstart vstart: pop ebx sub ebx,offset vstart ... mov eax,[ebx+abc] 其实这和上面那种方法最终结果是一样的，只不过是换了一种形式，即 （ebX-0ffSetVStart）+OffSet XXX。

33、另外，在实际过程中还会碰到其他重定位方式，并且需要重定位的绝对不仅局限于变量和常量，不过所有原理都是一样的。

本文到此讲解完毕了，希望对大家有帮助。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！