24小时热门版块排行榜

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] [转贴]推广的ESP定律---EBP的妙用

原文出处:
http://www.popbase.net/bbs/dispb ... ;ID=2229&page=1

Author：Lenus
From: www.popbase.net
E-mail：Lenus_M@163.com
--------------------------------------------------
1.前言

  几天前，jney2兄弟发表了《如何阻击“ESP定律”》一文，对于anti-ESP定律提出了非常建设性的方案，通过这篇文章我们知道ESP定律的原理和他的局限性，但是对于不能使用ESP定律的壳可不占少数哦。在这里我想简单的提出一个当我们面对无法使用ESP定律时的办法。
--------------------------------------------------
2.正文

  i.了解EBP寄存器
  在寄存器里面有很多寄存器虽然他们的功能和使用没有任何的区别，但是在长期的编程和使用中，在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义，比如：EAX一般用来做返回值，ECX用于记数等等
  在win32的环境下EBP寄存器用与存放在进入call以后的ESP的值，便于退出的时候回复ESP的值，达到堆栈平衡的目的。

  应用以前说过的一段话：

  原程序的OEP，通常是一开始以 Push EBP 和MOV Ebp,Esp这两句开始的，不用我多说大家也知道这两句的意思是以EBP代替ESP，作为访问堆栈的指针。

  为什么要这样呢？为什么几乎每个程序都是的开头能？
因为如果我们写过C等函数的时候就应该清楚，程序的开始是以一个主函数main（）为开始的，而函数在访问的过程中最重要的事情就是要确保堆栈的平衡，而在win32的环境下保持平衡的办法是这样的：
1.让EBP保存ESP的值；
2.在结束的时候调用
mov esp,ebp
pop ebp
retn
或者是
leave
retn
两个形式是一个意思。

这样做的好处是不用考虑ESP等于多少，PUSH了多少次，要POP多少次了，因为我们知道EBP里面放的是开始时候的ESP值。

ii.推广的ESP定律

在寻找OEP的时候，往往下断HW ESP-4不成功，除了壳代码将硬件断点删除了以外，很可能的情况就是因为壳代码在运行到OEP的时候他的ESP已经不再是在EP时候的ESP（12FFC4）了，这样我们下断当然是不成功的。

那么如何找到在壳到达OEP的时候的堆栈的值将是关键。

在这里我们应用的关键是

Push EBP
MOV Ebp,Esp----》关键是这句

我来解释一下，当程序到达OEP的时候Push EBP这句对于ESP的值来说就是ESP-4，然后是ESP-4赋给了EBP，而做为保存ESP值作用的EBP寄存器在这个“最上层的程序”中的值将始终不会改变。虽然他可能在进入子call里面以后会暂时的改变（用于子程序的堆栈平衡）但是在退出了以后依靠pop ebp这一句将还原原来的EBP的值。

以这句做为突破口，就是说只要我们能断在“最上层的程序”中，就能通过观察EBP的值得到壳在JMP到OEP的时候的ESP的值了。

iii.实战

来看看pespin1.1的壳，在pespin1.0的壳中，我们使用HW 12FFC0能很容易的找到stolen code的地方，但是到pespin1.1的时候，我们就不行了。用HW 12FFC0根本断不下来。

点击浏览该文件


现在我们就使用这个推广的ESP定律

载入程序后来到最后的一个异常

0040ED85    2BDB          sub ebx,ebx                         //停在这里
0040ED87    64:8F03       pop dword ptr fs:[ebx]
0040ED8A    58             pop eax
0040ED8B    5D             pop ebp
0040ED8C    2BFF          sub edi,edi
0040ED8E    EB 01          jmp short pespin1_.0040ED91
0040ED90    C466 81       les esp,fword ptr ds:[esi-7F]

我用使用内存断点办法来到FOEP处

004010D3    0000          add byte ptr ds:[eax],al
004010D5    0000          add byte ptr ds:[eax],al
004010D7    0000          add byte ptr ds:[eax],al
004010D9    0000          add byte ptr ds:[eax],al
004010DB    0000          add byte ptr ds:[eax],al
004010DD    0000          add byte ptr ds:[eax],al
004010DF    75 1B          jnz short pespin1_.004010FC             //这里是FOEP
004010E1    56             push esi
004010E2    FF15 99F44000 call dword ptr ds:[40F499]
004010E8    8BF0          mov esi,eax
004010EA    8A00          mov al,byte ptr ds:[eax]

好了，这里就是“最上层的程序”的地方了，看看寄存器

EAX 00141E22
ECX 0040C708 pespin1_.0040C708
EDX 0040C708 pespin1_.0040C708
EBX 0040C708 pespin1_.0040C708
ESP 0012F978
EBP 0012F9C0                               //注意这里
ESI 00141EE0
EDI 0040E5CD pespin1_.0040E5CD
EIP 004010DF pespin1_.004010DF

看到了吧，EBP=0012F9C0，我们来想象一下这个值是怎么得到的。

首先肯定是通过MOV ESP，EBP这一句，也就是说ESP这时是0012F9C0的，

然而上面还有一句PUSH EBP也就是说ESP在到达OEP的时候应该是0012F9C4的。

好了得到这个结论我们就能很快的找到stolen code的所在了。

重来停在最后的异常

0040ED85    2BDB          sub ebx,ebx                         //停在这里
0040ED87    64:8F03       pop dword ptr fs:[ebx]
0040ED8A    58             pop eax
0040ED8B    5D             pop ebp
0040ED8C    2BFF          sub edi,edi
0040ED8E    EB 01          jmp short pespin1_.0040ED91
0040ED90    C466 81       les esp,fword ptr ds:[esi-7F]

然后下断HW 0012F9C0 ，F9运行

来到这里

0040D8FB    61             popad
0040D8FC    55             push ebp
0040D8FD    EB 01          jmp short pespin1_.0040D900          //停在这里
0040D8FF    318B ECEB01AC xor dword ptr ds:[ebx+AC01EBEC],ecx
0040D905    83EC 44       sub esp,44
0040D908    EB 01          jmp short pespin1_.0040D90B
0040D90A    72 56          jb short pespin1_.0040D962
0040D90C    EB 01          jmp short pespin1_.0040D90F
0040D90E    95             xchg eax,ebp
0040D90F    FF15 6CF34000 call dword ptr ds:[40F36C]
0040D915    EB 01          jmp short pespin1_.0040D918

于是就很快的找到了stolen code的所在了
--------------------------------------------------
3.总结
  上面的这个办法大概可以总结以下的步骤：
1.直接或间接的断在“最上层的程序”的地方。
2.得到“最上层的程序”的EBP的值。
2.利用程序初始化的两个固定语句找到壳JMP到OEP的堆栈值。

这个办法有很大的局限性，因为只有VC和delphi程序使用这个初始化的开头。

但是找到“最上层的程序”的办法除了内存断点还有很多办法，例如对于VC来说使用 bp ExitProcess也是一个很好的断点，可以直接得到EBP的数值。
--------------------------------------------------
4.后话
  原来这个办法有很强的前提条件，不是一个很具普遍性的办法，我原来也不想单独的提出来，但是对于jney2兄弟的anti-ESP定律来说这个办法却是一个解决之道。
  当然还有更多的办法，在这里我只想说很多事情有矛就有盾，没有什么办法是一定没有漏洞的，只是希望这篇文章给大家阔宽思路，起到抛砖引玉的作用。

[ Last edited by sdlj8051 on 2006-10-6 at 11:29 ]

回复此楼

» 猜你喜欢

276求调剂。有半年电池和半年高分子实习经历已经有10人回复
一志愿南航材料专317分求调剂已经有4人回复
求调剂已经有4人回复
生物学学硕求调剂已经有5人回复
284求调剂已经有10人回复
一志愿山东大学药学学硕求调剂已经有4人回复
07化学280分求调剂已经有4人回复
298-一志愿中国农业大学-求调剂已经有12人回复
求材料，环境专业调剂已经有3人回复
335求调剂已经有5人回复

1楼 2006-08-23 14:31:54

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 081700 调剂 267分 +7	迷人的哈哈 2026-03-23	7/350	2026-03-23 23:19 by 星空星月
[基金申请] 请教下大家 2026年国家基金申请是双盲审吗？ +3	lishucheng1 2026-03-22	4/200	2026-03-23 20:48 by god_tian
[考研] 一志愿南京理工大学085701资源与环境302分求调剂 +5	葵梓卫队 2026-03-18	7/350	2026-03-23 16:26 by lingjue
[考研] 08工学调剂 +7	用户573181 2026-03-20	11/550	2026-03-23 15:47 by 我爱学习学习使�
[考研] 293求调剂 +3	涛涛Wjt 2026-03-22	5/250	2026-03-22 22:21 by jiangpengfei
[考研] 311求调剂 +6	冬十三 2026-03-18	6/300	2026-03-22 20:18 by edmund7
[考研] 315分，诚求调剂，材料与化工085600 +3	13756423260 2026-03-22	3/150	2026-03-22 20:11 by edmund7
[考研] 311求调剂 +3	26研0 2026-03-20	3/150	2026-03-22 14:46 by ColorlessPI
[考研] 269专硕求调剂 +6	金恩贝 2026-03-21	6/300	2026-03-22 14:31 by ColorlessPI
[考研] 一志愿北京化工大学070300 学硕336求调剂 +5	vv迷 2026-03-21	8/400	2026-03-22 14:20 by ColorlessPI
[考研] 286求调剂 +10	Faune 2026-03-21	10/500	2026-03-21 23:34 by 314126402
[考研] 一志愿东华大学控制学硕320求调剂 +3	Grand777 2026-03-21	3/150	2026-03-21 19:23 by 简之-
[考研] 0703化学调剂 +4	妮妮ninicgb 2026-03-21	4/200	2026-03-21 18:39 by 学员8dgXkO
[基金申请] 学校已经提交到NSFC，还能修改吗？ 40+4	babangida 2026-03-19	9/450	2026-03-21 16:12 by babangida
[考研] 299求调剂 +6	△小透明* 2026-03-17	6/300	2026-03-21 02:42 by JourneyLucky
[考研] 274求调剂 +10	S.H1 2026-03-18	10/500	2026-03-20 23:51 by JourneyLucky
[考研] 一志愿南昌大学，327分，材料与化工085600 +9	Ncdx123456 2026-03-19	9/450	2026-03-20 23:41 by lovewei0727
[考研] 321求调剂 +9	何润采123 2026-03-18	11/550	2026-03-20 23:19 by JourneyLucky
[考研] 一志愿南京航空航天大学大学，080500材料科学与工程学硕 +5	@taotao 2026-03-20	5/250	2026-03-20 20:16 by JourneyLucky
[考研] 085600材料与化工求调剂 +6	绪幸与子 2026-03-17	6/300	2026-03-19 13:27 by houyaoxu