[求助]关于catch22上自杀代码在GCC下的编译问题.-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼 #pragma pack(push, 1) 这里有详细的解释：92eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3u0J5j5i4u0&6i4K6u0r3k6r3g2X3j5i4g2D9N6q4)9J5k6h3q4K6M7q4)9K6c8Y4g2J5L8q4)9K6c8q4)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3N6X3y4D9j5h3&6Y4i4K6u0r3K9s2c8E0L8q4)9J5c8W2)9#2k6Y4m8J5k6h3c8A6M7W2)9#2k6Y4m8S2j5$3E0Q4x3X3g2S2M7%4l9`. #define CODESIZE 0x200 定义复制到远程线程中代码长度 #define FUNC_ADDR(func) (PVOID)((DWORD )((BYTE )func + 1) + (DWORD)((BYTE )func + 5)) 这个宏表示得到近CALL或者近跳转地址，它们指令长度都是5字节，例如： DEBUG版生成如下形式代码， .text:004110D7 sub_4110D7 proc near ; CODE XREF: sub_411280+90p .text:004110D7 ; sub_411280+110p ... .text:004110D7 jmp sub_411880 .text:004110D7 sub_4110D7 endp FUNC_ADDR(sub_4110D7)宏后就得到sub_411880这个地址 2006-2-1 16:13 0
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 3 楼用MINGW不能自动删除是因为编译器对于函数地址解释与VC不同的原因：出错代码如下： local.fnWaitForSingleObject = (FARPROC)WaitForSingleObject; local.fnCloseHandle = (FARPROC)CloseHandle; local.fnDeleteFile = (FARPROC)DeleteFile; local.fnSleep = (FARPROC)Sleep; local.fnExitProcess = (FARPROC)ExitProcess; local.fnRemoveDirectory = (FARPROC)RemoveDirectory; local.fnGetLastError = (FARPROC)GetLastError; WaitForSingleObject得到的并不是函数地址，而是间接调用地址，对应的反汇编代码如下： 401160: c7 85 90 fb ff ff c0 movl $0x4013c0,0xfffffb90(%ebp) 004013c0 <_WaitForSingleObject@8>: 4013c0: ff 25 d8 40 40 00 jmp *0x4040d8 4013c6: 90 nop 4013c7: 90 nop 当在远程代码是调用local.fnWaitForSingleObject等函数的时候，也就是调用$0x4013C0这个地址，而这个地址在远程代码所在进程中不是WaitForSingleObject函数的调用。当用VC编译的时候，编译器传入的是WaitForSingleObject直接地址，这个直接地址在整个NT操作系统所有的进程空间中的地址都是一样的，不用考虑DLL重定位后的地址不同这个问题。所以正确的VC和GCC编译器通用代码应该是传递WaitForSingleObject等函数的直接地址，如下： HINSTANCE hKernel; hKernel = LoadLibrary("kernel32.dll"); local.fnWaitForSingleObject = GetProcAddress( hKernel, "WaitForSingleObject"); // 其它的函数... FreeLibrary(hKernel); 附修改后的代码及DEV-CPP工程文件: 上传的附件： selfdel.rar （2.42kb，13次下载） 2006-2-5 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼 #pragma pack(push, 1) 这里有详细的解释：92eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3u0J5j5i4u0&6i4K6u0r3k6r3g2X3j5i4g2D9N6q4)9J5k6h3q4K6M7q4)9K6c8Y4g2J5L8q4)9K6c8q4)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3N6X3y4D9j5h3&6Y4i4K6u0r3K9s2c8E0L8q4)9J5c8W2)9#2k6Y4m8J5k6h3c8A6M7W2)9#2k6Y4m8S2j5$3E0Q4x3X3g2S2M7%4l9`. #define CODESIZE 0x200 定义复制到远程线程中代码长度 #define FUNC_ADDR(func) (PVOID)((DWORD )((BYTE )func + 1) + (DWORD)((BYTE )func + 5)) 这个宏表示得到近CALL或者近跳转地址，它们指令长度都是5字节，例如： DEBUG版生成如下形式代码， .text:004110D7 sub_4110D7 proc near ; CODE XREF: sub_411280+90p .text:004110D7 ; sub_411280+110p ... .text:004110D7 jmp sub_411880 .text:004110D7 sub_4110D7 endp FUNC_ADDR(sub_4110D7)宏后就得到sub_411880这个地址 2006-2-1 16:13 0
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 3 楼用MINGW不能自动删除是因为编译器对于函数地址解释与VC不同的原因：出错代码如下： local.fnWaitForSingleObject = (FARPROC)WaitForSingleObject; local.fnCloseHandle = (FARPROC)CloseHandle; local.fnDeleteFile = (FARPROC)DeleteFile; local.fnSleep = (FARPROC)Sleep; local.fnExitProcess = (FARPROC)ExitProcess; local.fnRemoveDirectory = (FARPROC)RemoveDirectory; local.fnGetLastError = (FARPROC)GetLastError; WaitForSingleObject得到的并不是函数地址，而是间接调用地址，对应的反汇编代码如下： 401160: c7 85 90 fb ff ff c0 movl $0x4013c0,0xfffffb90(%ebp) 004013c0 <_WaitForSingleObject@8>: 4013c0: ff 25 d8 40 40 00 jmp *0x4040d8 4013c6: 90 nop 4013c7: 90 nop 当在远程代码是调用local.fnWaitForSingleObject等函数的时候，也就是调用$0x4013C0这个地址，而这个地址在远程代码所在进程中不是WaitForSingleObject函数的调用。当用VC编译的时候，编译器传入的是WaitForSingleObject直接地址，这个直接地址在整个NT操作系统所有的进程空间中的地址都是一样的，不用考虑DLL重定位后的地址不同这个问题。所以正确的VC和GCC编译器通用代码应该是传递WaitForSingleObject等函数的直接地址，如下： HINSTANCE hKernel; hKernel = LoadLibrary("kernel32.dll"); local.fnWaitForSingleObject = GetProcAddress( hKernel, "WaitForSingleObject"); // 其它的函数... FreeLibrary(hKernel); 附修改后的代码及DEV-CPP工程文件: 上传的附件： selfdel.rar （2.42kb，13次下载） 2006-2-5 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复