[原创]牢记VC程序内的三大检测函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]牢记VC程序内的三大检测函数

发表于: 2020-11-1 16:02 9804

[原创]牢记VC程序内的三大检测函数

九阳道人

2020-11-1 16:02

9804

VC编译的程序中，时常会出现一些常见的检测函数，为了节省逆向的时间，我们有必要记住这些检测函数的特征，今天我就记录一下VC程序的三大检测函数。
 
如果是在IDA中分析VC程序， Shift+F5 加入VC的签名搞定，但是在OD中就需要经验了。

加入签名后，就可以看到函数名了。

看名称就知道知道这是一个检测堆栈相关的函数，它的主要特征:
(1)call 上面一行代码是lea edx, XXXX。
(2)函数内部存在代码cmp xxx,0xCCCCCCCC

安全cookie 以前因为栈溢出的问题是在太严重，所以VS引进了Security_Cookie，主要用来防止栈溢出的。主要特征：

检测栈顶，同样也有外部和内部特征

.text:00463934                 push    eax

.text:00463935                 lea     edx, dword_463960

.text:0046393B                 call    j_@_RTC_CheckStackVars@8 ; 检测堆栈

.text:00463940                 pop     eax
 
// 内部

.text:004661E4                 mov     ecx, [ebx+4]

.text:004661E7                 mov     eax, [ebp+var_4]

.text:004661EA                 mov     edx, [ecx+edi]

.text:004661ED                 cmp     dword ptr [edx+eax-4], 0CCCCCCCCh

.text:004661F5                 jnz     short loc_466209

.text:004661F7                 mov     eax, [ecx+edi+4]

.text:004661FB                 add     eax, edx

.text:004661FD                 mov     edx, [ebp+var_4]

.text:00466200                 cmp     dword ptr [eax+edx], 0CCCCCCCCh

.text:00466207                 jz      short loc_466219

.text:00463934 push eax

.text:00463935 lea edx, dword_463960

.text:0046393B call j_@_RTC_CheckStackVars@8 ; 检测堆栈

.text:00463940 pop eax

// 内部

.text:004661E4 mov ecx, [ebx+4]

.text:004661E7 mov eax, [ebp+var_4]

.text:004661EA mov edx, [ecx+edi]

.text:004661ED cmp dword ptr [edx+eax-4], 0CCCCCCCCh

.text:004661F5 jnz short loc_466209

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・11

免费・2

支持

最新回复 (4)
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 2 楼跟Linux GCC自动加的stack check差不多 2020-11-2 11:10 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 3 楼 666 2020-11-3 01:46 0
guduzhe 雪币： 4014 活跃值： (5665) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 197 粉丝 30 关注私信	guduzhe 4 楼汇编指令bnd是啥作用 2021-11-17 19:03 0
R0g 雪币： 1282 活跃值： (4555) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 103 关注私信	R0g 2 5 楼检测堆空间安全cookie(Canary) 检测ESP 2021-11-18 16:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

九阳道人

发帖

回帖

150

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 2 楼跟Linux GCC自动加的stack check差不多 2020-11-2 11:10 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 3 楼 666 2020-11-3 01:46 0
guduzhe 雪币： 4014 活跃值： (5665) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 197 粉丝 30 关注私信	guduzhe 4 楼汇编指令bnd是啥作用 2021-11-17 19:03 0
R0g 雪币： 1282 活跃值： (4555) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 103 关注私信	R0g 2 5 楼检测堆空间安全cookie(Canary) 检测ESP 2021-11-18 16:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复