[原创]手动伪造调用栈，对抗堆栈回溯，支持R0/R3，附源码-编程技术-看雪安全社区

最新回复 (155) ◀ 1 2 3 4 5 6 7
mb_tecrmqmn 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_tecrmqmn 151 楼感谢分享 16小时前 0
wx_化羽雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_化羽 152 楼学习了 16小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 153 楼 66666 15小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 154 楼风铃i 某搜打撤直接stackwalk，会判断返回模块+模块hash+调用层数，你这个只是伪造了一层返回地址，可以说一点用没有，等着杀两人踢吧伪造后不就溯源上层api调用了吗，为啥还会出问题，本人小白求指点 14小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 155 楼 nice667 这个堆栈欺骗毫无意义，真实环境中反作弊通常会记录整个调用栈而不是仅检测一层是否在合法模块中而且通常反作弊会使用 VEH或者其他监控异常的方法他们会手动拆解调用信息当你伪造了堆栈会发生，它的 ... 我申请一块内存然后再平移这块堆栈，执行完后恢复到原来堆栈，这样可以吗 14小时前 0
nice667 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 13 粉丝 1 关注私信	nice667 156 楼除非你申请一个全新的RSP mov rsp,xxxx 然后手动构造好这个RSP 也许可行但是你也得找个合法地址作为新rsp 返回的跳板在返回到跳板后在恢复原来的RSP 9小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (155) ◀ 1 2 3 4 5 6 7
mb_tecrmqmn 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_tecrmqmn 151 楼感谢分享 16小时前 0
wx_化羽雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_化羽 152 楼学习了 16小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 153 楼 66666 15小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 154 楼风铃i 某搜打撤直接stackwalk，会判断返回模块+模块hash+调用层数，你这个只是伪造了一层返回地址，可以说一点用没有，等着杀两人踢吧伪造后不就溯源上层api调用了吗，为啥还会出问题，本人小白求指点 14小时前 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	mb_xrcdmrqz 155 楼 nice667 这个堆栈欺骗毫无意义，真实环境中反作弊通常会记录整个调用栈而不是仅检测一层是否在合法模块中而且通常反作弊会使用 VEH或者其他监控异常的方法他们会手动拆解调用信息当你伪造了堆栈会发生，它的 ... 我申请一块内存然后再平移这块堆栈，执行完后恢复到原来堆栈，这样可以吗 14小时前 0
nice667 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 13 粉丝 1 关注私信	nice667 156 楼除非你申请一个全新的RSP mov rsp,xxxx 然后手动构造好这个RSP 也许可行但是你也得找个合法地址作为新rsp 返回的跳板在返回到跳板后在恢复原来的RSP 9小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复