|
|
|---|---|
|
|
感谢您的认真阅读和提问,首先,该处代码没有问题,下面我来详细讲解下该处代码的作用和调试方法: 这个函数的功能是根据输入的参数(某 DLL基址,某API函数的名称HASH值)来获取该API函数的实际地址。读者调试时,可以将Sample下面的Shellcode工程中Debug目录下的LoadShellcode.exe使用OD加载来调试具体的shellcode运行过程,详细情况如下图:  |
|
|
非常感谢版主14章作者为我解答,代码确实没有错误,版主的耐心解答让我更加喜爱这本书的内容热情高涨 call FindApi //循环查找API地址 loop FindApi_loop 是我在理解:loop FindApi_loop loop上错误理解成为 jmp无限跳,后来仔细一想是根据ecx值跳。 我也按照版主说的做 Shellcode工程中Debug目录下的LoadShellcode.exe使用OD加载调试执行过程 在执行过程中   当找到kernel32.dll 为啥跳到00030106 :CC int3 触发下异常? |
|
|
看随书源码应该是 jmp DataArea DataArea: call backToMain //这里变成了 int3 不晓得是不是随书的程序问题 |
|
|
谢谢读者的细心调试分析,此处问题解答如下: shellcode_bin.bin文件中0x106偏移应该是0xE8,而不是0xCC,如下图: 产生这个原因的可能是:当时为了方便调试,我手动修改成了0xCC(int 3)。 修复方法:(1)重新编译下该工程,将shellcode_bin.bin、shellcode_cpp.cpp、shellcode_unescape.txt、shellcode_unicode.txt等文件删除; 运行shellcode.exe即可生成对应的二进制文件 (2)手动修改0xCC为0xE8 再对这个工程做个说明: 该工程是一个完整的通过vc6内联汇编编写、生成各种格式的shellcode文件的工程,shellcode功能是下载并执行exe文件。 _asm{}内是shellcode的汇编源代码,代码中通过“goto getShellcode;”跳过shellcode到内联汇编末尾,避免shellcode被运行。 其中 通过
jmp DataArea call backToMain 这两条语句可以获取到追加在shellcode末尾的数据地址,方便后续调用数据。 |
|
|
|
program杨
