尾部跳转方法

最新推荐文章于 2023-12-02 12:00:00 发布
最新推荐文章于 2023-12-02 12:00:00 发布
阅读量80 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880501/article/details/134176306
版权

尾部跳转的方法

1.push+ret

在这里插入图片描述

2.call jmp

global _start

_start:
jmp short getdata    ; 跳转到getdata

begin:
pop ebx         ; 弹出shellcode的地址
xor ecx,ecx        ; 清零循环计数器ecx
sub cx, -0x15F     ; 设置cx为shellcode长度

decode:
xor byte [ebx], 0x99    ; 异或key来解码
inc ebx                 ; 进入下一字节
loop decode                ; 循环解码
jmp short shellcode     ; 跳到解码完成的shellcode


getdata:
call begin    ; 将下一条指令(shellcode)位置压栈,跳到begin

shellcode:    ; 异或加密后的shellcode
db ..........................

利用call{
pop ebx
}
shellcode。
ebx获取shellcode地址。

3.NtContinue/ZwContinue

NtContinue:
ntdll!ZwContinue 采用与 ntdll!NtContinue 相同的参数。
NtContinue(
IN PCONTEXT ThreadContext;
IN BOOLEAN RaiseAlert
);
NtContinue会将CONTEXT结构体的eip 设置为线程真正的起始执行入口。
ZwContinue

ZwContinue (
IN PCONTEXT ThreadContext;
IN BOOLEAN RaiseAlert
);

ZwContinue的作用是继续执行一个线程,它的一个参数是CONTEXT指针,找到Context->EIP,下断就可以跟踪,否则F8后程序挂掉。

参考链接1
参考链接2

Orcinus p
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ReactNative之FlatList的具体使用方法
01-21
之前使用的组件是ListView,当时要添加一个下拉刷新,上拉加载的功能,所以对ListView做了... 支持单独的尾部组件。 支持自定义行间分隔线。 支持下拉刷新。 支持上拉加载。 支持跳转到指定行(ScrollToIndex)。
windbg入门初探心得之--ZwContinue之后给启动新启动的线程下断点绕过反调试技术
fjh1997的博客
02-27 1731
最近在用wgdbg逆向MFC程序,windbg打开的程序一开始进去的时候是会停在ntdll.dll的0xcc也就是int 3处。 之后一边查看栈一边step in和step out,希望能够结束程序的初始化流程,尽快到达程序入口点,当然对于有经验的师傅来说直接使用bp $exentry 就能够直接下断在程序入口点。但对于我这种小白来说,喜欢一步步调试,那么我们继续走起。 很快啊,我们看到程序进到了一个函数: KiUserApcDispacher,在这个函数里面,我们又进入了,ZwContinue,step
NtContinue笔记
whowho的专栏
04-26 3589
NtContinue (IN PCONTEXT Context, IN BOOLEAN TestAlert) {     PKTHREAD Thread =KeGetCurrentThread();     PKTRAP_FRAME TrapFrame = Thread->TrapFrame;     PKTRAP_FRAME PrevTrapFrame = (PKTRAP_FRAME)T
Anti-Attach 防止调试器附加
LLC
08-16 5922
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》 看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案, 发现书上写了这样一句话: Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon
Windows的结构化异常处理
major102的专栏
11-07 808
我们知道,异常就像中断,不管是什么原因(“软异常”除外)所引起,一旦发生首先进入的是内核中的异常响应/ 处理程序的入口,这就是类似于KiTrap0()那样的底层内核函数,只是因为引起异常的原因不同而进入不同的入口,就像对于不同的中断向量有不同的入口 一样。在内核中,仍以页面异常为例,正如读者已经看到,CPU会从KiTrap14()进入函数KiPageFaultHandler()。在那儿,如果 所发
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
nginx location中uri的截取的实现方法
01-10
root 指令只是将搜索的根设置为 root 设定的目录,即不会截断 uri,而是使用原始 uri 跳转该目录下查找文件 aias 指令则会截断匹配的 uri,然后使用 alias 设定的路径加上剩余的 uri 作为子路径进行查找 location ...
nginx的try_file命令实现404跳转_nginx_tryfile404_
09-29
在这个例子中,`$uri`代表当前请求的URI,`$uri/`则代表添加了尾部斜线的URI,这通常是检查目录是否存在。如果这两个都不存在,`=404`将被触发,Nginx会返回404 Not Found状态码。如果你想要在此时执行一个特定的URI...
dhtmxlLayout应用方法
12-05
- Layout_conf_header_footer:添加头部和尾部区域,增强布局的功能性。 - Layout_global_menu:在布局上方添加全局菜单,提供快捷操作。 - Layout_components_XX:添加各种组件,如按钮、表格、图表等,丰富布局...
nginx配置域名访问时域名后出现两个斜杠//的解决方法
01-09
当Nginx配置中的`location`块中`proxy_pass`指令后面缺少尾部的“/”时,Nginx可能会尝试在目标URL后面附加请求的路径,从而产生额外的斜杠。例如,如果`proxy_pass`设置为`http://localhost:8080`,而请求的URL是`/...
Nt内核函数大全
huang714的专栏
04-29 1469
Nt内核函数大全 NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止采样...
逆向时如何找到MingGW(GNU)编译程序的main函数
輚至消亡
08-04 1009
为了探究里面究竟怎么回事, 我找到了wrk-v1.2的源码, 其中包含了ZwContinue的实现, 首先先看一下注释, API界面包含了2个参数, 其中让人感兴趣的是PCONTEXT, 这是一个线程上下文环境, 其中包含了线程的执行环境, 也许main函数主线程就是位于这个上下文环境中。方便让线程继续运行。编译器是MingGW生成的可执行文件的显著特点是, 最终运行ZwContinue后程序就莫名其妙启动了, 也找不到main函数。先忘了原本的目的, 既然都来了, 看一下这个API的实现。
APC异步过程调用
kernweak的博客
09-03 2427
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
ReactOS SYSCALL_PROLOG/TRAP_EPILOG及相关代码注释 (2) --ZwContinue
lixiangminghate的专栏
02-22 1153
ReactOS SYSCALL_PROLOG/TRAP_EPILOG及相关代码注释 (1) 一文中提到了KTRAP_FRAME,TRAP_EPILOG使用保存在这个结构中的Eip返回到被中断的指令继续执行。
内存免杀--
最新发布
hackzkaq的博客
12-02 277
Edr会扫描程序的内存空间,检测是否存在恶意软件,这种检测恶意软件的方式,应该和静态检测没什么区别,只不过一个扫描的对象是硬盘,一个是内存,应该都是基于特征码来检测的,为了绕过这种扫描我们可以对内存中的beacon进行加密,但这样的话就会出现问题,因为beacon被加密后是无法正常的运行的,因为代码被加密了。我们提到过自己是不可以加密自己的,但是Ekko项目实现了自己加密自己的内存,这对对抗内存扫描很有帮助。等待某个对象的状态,如果状态为已通知就往下执行,或者等待超时也会往下执行,也可以设置一直等待。
NT 函数原型
lei35151的专栏
11-15 4297
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
Win32 结构化异常处理(SEH)探秘
乱码涅磐的专栏
01-26 832
Win32 结构化异常处理其核心是操作系统提供的服务,你能找到的关于 SEH 的所有文档都是描述一个特定的编译器运行时库,这个运行库包装着操作系统实现。在本文中,我将一层一层对 SEH 进行剥离,以便展现其最基本的概念。 在 Win32 操作系统提供的所有功能中,使用最广泛但最缺乏文档描述的也许就是结构化异常处理了(SEH),当你考虑 Win32 结构化异常处理时,你也许会想到诸如 _try,_
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 706
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
Zw 系列函数
huanongying131的博客
11-19 3618
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
linux命令来到页面尾部
12-01
要在Linux命令行中来到页面尾部,可以使用以下两个命令之一: 1. 使用less命令:在命令行中输入less命令,然后按下Shift + G键,即可跳转到页面的底部。 2. 使用tail命令:在命令行中输入tail命令,然后加上-f参数,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值