第三章shellcode搜索API函数-《0day:软件漏洞分析技术》-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 0 关注私信	孤单的狼 2012-12-8 21:23 2 楼 0 堆栈是从高地址向低地址增长的假如现在栈顶地址为0x0010000C ESP=0x0010001C push 0x1e380a6a ;hash of MessageBoxA 压入4个字节 ESP=0x00100018 push 0x4fd18963 ;hash of ExitProcess 压入4个字节 ESP=0x00100014 push 0x0c917432 ;hash of LoadLibraryA 压入4个字节 ESP=0x00100010 mov esi,esp ; esi = addr of first function hash lea edi,[esi-0xc] ; edi = addr to start writing function ① 那这里的edi = [0x00100008] 这个地址完全是未使用的堆栈地址啊下图是我在OD中调试的结果，本想解答的我也晕了求大神继续解答！
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 442 粉丝 0 关注私信	shenger 2012-12-8 21:37 3 楼 0 其实这个edi指向的地方就是放函数名hash值地方的上面，用来存放hash的对应函数地址。通过call [edi - 0x8] 这样的指令就可以调用[edi-0x8]这个内存单元存放的函数地址的对应函数了。建议楼主进OD走多几遍多思考，我自己就是这样做的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (2)
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 0 关注私信	孤单的狼 2012-12-8 21:23 2 楼 0 堆栈是从高地址向低地址增长的假如现在栈顶地址为0x0010000C ESP=0x0010001C push 0x1e380a6a ;hash of MessageBoxA 压入4个字节 ESP=0x00100018 push 0x4fd18963 ;hash of ExitProcess 压入4个字节 ESP=0x00100014 push 0x0c917432 ;hash of LoadLibraryA 压入4个字节 ESP=0x00100010 mov esi,esp ; esi = addr of first function hash lea edi,[esi-0xc] ; edi = addr to start writing function ① 那这里的edi = [0x00100008] 这个地址完全是未使用的堆栈地址啊下图是我在OD中调试的结果，本想解答的我也晕了求大神继续解答！
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 442 粉丝 0 关注私信	shenger 2012-12-8 21:37 3 楼 0 其实这个edi指向的地方就是放函数名hash值地方的上面，用来存放hash的对应函数地址。通过call [edi - 0x8] 这样的指令就可以调用[edi-0x8]这个内存单元存放的函数地址的对应函数了。建议楼主进OD走多几遍多思考，我自己就是这样做的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复