作者在测试shellcode时遇到问题,发现由于软件的随机基址设置,需要调整IMAGE_OPTIONAL_HEADER的DllCharacteristics以关闭动态基址功能,以使shellcode正确执行。
昨天写完shellcode任意节写入时,我想测试文件对齐与内存对齐不一样的文件能不能成功(因为我实在找不到一个可以提供我测试的软件,很多软件没有用user32这个dll,其他的我也还没学),于是自己写了一个仅调用了messagebox的函数,结果没有成功,我以为是我的imagebuffer没有处理好,结果拖进od计算才发现,我的e8后面的地址算错了,e9却对了,
PVOID e8Addr = (DWORD)MessageBoxA - (pOptHeader->ImageBase + pSecHeader->VirtualAddress
+ pSecHeader->Misc.PhysicalAddress + 8 + 5);
PVOID e9Addr = pOptHeader->AddressOfEntryPoint - (pSecHeader->VirtualAddress + pSecHeader-
>Misc.PhysicalAddress + 8 + 5 + 5);
答案就非常的显而易见,两条公式仅仅相差了一个imagebase,经过一番搜寻,学习发,vs后面版本的软件都是自带随机基址的,所以就需要手动去关掉这个随机基址
typedef 
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
