[讨论]SEH保护问题-《0day:软件漏洞分析技术》-看雪-安全社区|安全招聘|kanxue.com

smilysas

2011-9-7 10:55

6175

看了0day2中关于SEH的描述和如何绕过SEH保护机制，大开眼界！

我在分析一个小程序的时候遇到一种书上没有讲过的情况，就是在__try()中申请了一个buffer, 然后对其进行缓冲区溢出，但诡异的是SEH 链的第一个节点地址比buffer的地址还低，无论如何都覆盖不到第一个SEH，这是为什么？堆栈中的结构大致如下图所示，很是纠结！

上传的附件：

收藏・1

免费・0

支持

最新回复 (2)
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 2 楼关注中… 2011-9-7 12:31 0
xnhandt 雪币： 8 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	xnhandt 3 楼 >诡异的是SEH 链的第一个节点地址比buffer的地址还低有没有试过高地址的SEH呢？不是要第一个，而是要隔缓冲区最近的哪个。低地址的SEH不用考虑 2011-10-19 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

smilysas

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 2 楼关注中… 2011-9-7 12:31 0
xnhandt 雪币： 8 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	xnhandt 3 楼 >诡异的是SEH 链的第一个节点地址比buffer的地址还低有没有试过高地址的SEH呢？不是要第一个，而是要隔缓冲区最近的哪个。低地址的SEH不用考虑 2011-10-19 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复