Что такое дельта смещение?

Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
yashechka Ранг: 59.5 (постоянный), 326thx Активность: 0.17↗0.76 Статус: Участник	Создано: 13 июля 2012 10:42 · Поправил: yashechka · Личное сообщение · #1 b

F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 13 июля 2012 10:51 · Личное сообщение · #2 В трех словах с примером --> Link <--
yashechka Ранг: 59.5 (постоянный), 326thx Активность: 0.17↗0.76 Статус: Участник	Создано: 13 июля 2012 11:14 · Личное сообщение · #3 Весёлые картинки. Спс. Сейчас почитаю.
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 13 июля 2012 15:01 · Поправил: Coderess · Личное сообщение · #4 Вот еще : Code: delta: pop ebp mov eax,ebp sub ebp,offset delta Code: Да! Это дельта-смещение! Мы должны получить его по ; ; очень простой причине: мы не знаем где находится исполняющийся код Отрывок из --> Путеводитель по написанию вирусов под Win32: 4. Ring-3, программирование на уровне пользователя <-- ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
sys_dev Ранг: 57.1 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 13 июля 2012 18:27 · Личное сообщение · #5 yashechka Дельта-смещение это разница между двумя адресами. Когда мы пишем привычными для программера средствами, то адресную арифметику настраивает компиллер, точнее он формирует код и файл таким образом чтобы во время работы исполнимого файла все было ок. Когда же мы пишем к примеру вирус, или какой-нить код который является чежеродным для исполняемого процесса, то возникает вопрос "Как адресоваться?". Формулировка проблемы : Как адресоваться внутри чужеродного куска кода к его собственным данным? Решением этой проблемы является: "Пишите базово-независимо". Другими словами мы при написании кода, или формировании кода(а мы же можем писать и кодогенераторы) формируем так код, чтобы он адресовался относительно заранее принятого адреса. Во время работы файла мы вычисляем "А где реально находится это место в пространстве процесса?", когда мы знаем этот реальный адрес мы вычитаем его из нами предположенного и тем самым получаем "дельта-смещение", далее прибавив эту разницу там где мы хотим адресоваться в теле базово-независимого кода мы получаем нормально функционирующий код. Как правило пишется нечто вроде этого: Code: call next next: pop eax sub eax,next Этот кусок кода вычисляет место в процесс, где же реально находится этот next ? Работает примитивно и просто, разжевывать не буду, просто вспомните как работают эти маш.инструкции \| Сообщение посчитали полезным: yashechka
yashechka Ранг: 59.5 (постоянный), 326thx Активность: 0.17↗0.76 Статус: Участник	Создано: 13 июля 2012 19:05 · Личное сообщение · #6 Это. А что мы выталкиваем в eax? Что там в это время на самой верхушке на стеке лежит? И что мы можем использовать метку как число для вычитания?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 13 июля 2012 22:34 · Личное сообщение · #7 Адрес возврата от call там лежит. Самому прогнать этот код из 3 инструкций в отладчике/почитать доки никак? Как видишь, можем.

Для печати