什么是病毒的重定位？

病毒的生存空间就是宿主程序，而因为宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。所以这就是病毒首先要重定位的原因。在我们编写程序的时候，所用到的变量的位置都是相对与程序某一个位置的偏移，正常的程序加载的地址是唯一的，所以它们不需要重定位。而病毒的加载是随机的所以就有了重定位的过程。虽然加载的位置不一定，但是变量到某一个位置的偏移却是固定的。所以重定位的基本原理就是找到这个特殊的位置。具体的方法有很多种。这里说几种常见的。

一、重定位的原因

都说病毒第一步要重定位，那到底为什么要重定位呢?我们写正常程序的时候根本不用去关心变量（常量）的位置，因为源程序在编译的时候它的内存中的位置郡被计算好了。程序装入内存时，系统不会为它重定位。我们需要用到变量 （常量）的时候直接用变量名访问它就行了。

病毒不可避免也要用到变量 （常量），当病毒感染HOST程序后，由于其依附到HOST程序中的位置各有不同，病毒随着HOST载入内存后病毒中的各个变量 （常量）在内存中的位置自然也不相同。既然这些变量没有固定的地址，病毒在运行的过程中应该如何引用这些变量呢?所以，病毒只有自己帮助自己重定位，这样就可以正常地访问自己的相关资源了。

二、如何重定位

大家都知道CALL是一条函数调用指令，也可以当成是跳转指令。它可以跳到目的地址继续执行，执行完毕后，会返回到主程序继续执行。那系统如何知道返回地址的呢?当CALL执行时，CPU首先把要返回的地址 （即下一条指令的地址）压火堆栈，然后跳到我们目的地址执行。可以看出，在跳转之后只要执行一条POP指令或MOVEXX，[ESP]就可以得到下一条指令在内存中的实际位置了。其实，对于任何一个变量，我们都可以采用这种方式进行重定位。

好了，原理都讲完了，现在让我们总结一下重定位的基本步骤 （这里假设下一条指令为I1）:

（1）用CALL指令跳转到下一条指令，使I1在内存中的实际地址进栈。

（2）用POP或MOV EXX，[ESP]取出栈顶的内容，这样就得到了I1的地址 （BaSe）。