基于堆栈的Windows Shellcode编写方法研究

１１９８　２０１０，３１（６）　・信息安全技术・　计算机工程与设计ＣｏｍｐｕｔｅｒＥｎｇｉｎｅｅｉｒｎｇ　ａｎｄＤｅｓｉｇｎ　基于堆栈的Ｗｉｎｄｏｗｓ　Ｓｈｅｌｌｃｏｄｅ编写方法研究　迟　强，　罗　红，　乔向东　（空军工程大学电讯工程学院，陕西西安７１００７７）　摘　要：为更好地理解与防范缓冲区溢出攻击，对Ｗｉｎｄｏｗｓ平台下Ｓｈｅｌｌｃｏｄｅ的编写、提取技术及验证方法进行了研究。从概　念出发，理清了Ｓｈｅｌｌｃｏｄｅ与Ｅｘｐｌｏｉｔ的区别，分析了Ｓｈｅｌｌｃｏｄｅ的工作原理，介绍了利用Ｓｈｅｌｌｃｏｄｅ所需的３个步骤。在实验的基　础上，总结了Ｓｈｅｌｌｃｏｄｅ的编写方法及提取技术，最后给出了验证Ｓｈｅｌｌｃｏｄｅ有效性的方法。　关键词：缓冲区溢出；Ｓｈｅｌｌｃｏｄｅ；Ｗｉｎｄｏｗｓ；堆栈；反汇编　中图法分类号：ＴＰ３０９　文献标识码：Ａ　文章编号：１０００—７０２４（２０１０）０６．１１９８．０４　Ｍｅｔｈｏｄ　ｒｅｓｅａｒｃｈ　ｏｆ　ｗｒｉｔｉｎｇ　Ｗｉｎｄｏｗｓ　Ｓｈｅｌｌｃｏｄｅ　ｂａｓｅｄ　ｏｎ　ｓｔａｃｋ　ＣＨＩ　Ｑｉａｎｇ，ＬＵＯ　Ｈｏｎｇ，　ＱＩＡＯ　Ｘｉａｎｇ—ｄｏｎｇ　（Ｃｏｌｌｅｇｅ　ｏｆ　Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ａｉｒ　Ｆｏｒｃｅ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｘｉ’ａｎ　７　１　００７７，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｔｏ　ｕｎｄｅｒｓｔａｎｄ　ａｎｄ　ｐｒｅｖｅｎｔ　ｂｕｆｆｅｒ　ｏｖｅｒｆｌｏｗ　ｅｘｐｌｏｉｔ　ｂｅｔｔｅｒ，ｔｈｅ　ｍｅｔｈｏｄ　ｏｆｗｒｉｔｉｎｇ　ａｎｄ　ｖａｌｉｄａｔｉｎｇ　Ｓｈｅｌｌｃｏｄｅ　ｉｓ　ｒｅｓｅａｒｃｈｅｄ．Ｆｉｒｓｔｌｙ，　ｔｈｅ　ｄｉｆｆｅｒｅｎｃｅ　ｂｅｔｗｅｅｎ　Ｓｈｅｌｌｃｏｄｅ　ａｎｄ　Ｅｘｐｌｏｉｔ　ｉｓ　ａｎａｌｙｚｅｄ　ａｆｔｅｒ　ｉｎｔｒｏｄｕｃｉｎｇ　ｔｈｅ　ｃｏｎｃｅｐｔ．Ｓｅｃｏｎｄｌｙ，ｔｈｅ　ｐｒｉｎｃｉｐｌｅ　ｏｆ　Ｓｈｅｌｌｃｏｄｅ　ａｎｄ　ｈｅ　ｔｔｈｒｅｅ　ｓｔｅｐｓ　ｏｆｅｘｐｌｏｉｔｉｎｇ　Ｓｈｅｌｌｃｏｄｅ　ｒｅ　ｉａｌｌｕｓｔｒａｔｅｄ．Ｔｈｉｒｄｌｙ，ｂａｓｅｄ　ｏｎ　ｍａｎｙ　ｅｘｐｅｒｉｍｅｎｔｓ，ｓｅｖｅｒａｌ　ｍｅｔｈｏｄｓ　ｏｆｗｒｉｔｉｎｇ　ｎｄ　ａｅｘｔｒａｃｔｉｎｇ　Ｓｈｅｌｌ－　ｃｏｄｅ　ａｒｅ　ｓｕｍｍａｒｉｚｅｄ．Ｆｉｎａｌｌｙ，ａ　ｆｅｗ　ｍｅａｓｕｒｅｓ　ｏｆｖａｌｉｄａｔｉｎｇ　Ｓｈｅｌｌｃｏｄｅ　ａｒｅ　ｐｒｅｓｅｎｔｅｄ．　Ｋｅｙ　ｗｏｒｄｓ：ｂｕｆｆｅｒ　ｏｖｅｒｆｌｏｗ；Ｓｈｅｌｌｃｏ‘ｌｅ：Ｗｉｎｄｏｗｓ；ｓｔａｃｋ；ｄｉｓａｓｓｅｍｂｌｅ　０引　言　基于堆栈的缓冲区溢出攻击依然是威胁网络安全的重要　ＳＴＡＣＫＦＯＲＦＵＮＡＮＤＰＲＯＦＩＴ））中首次提出的，他把向进程中　植入的一段用于获得ｓｈｅｌｌ的代码称为“ＳｈｅＵｃｏｄｅ”。后来，这　一概念被继续延用扩充，有了更广义的内涵：泛指在缓冲区溢　出攻击中被用于植入进程中的代码。通过精心设计ＳｈｅＵｃｏｄｅ，　手段，溢出发生后，攻击者通常会向目标主机的进程内植入实　现特定功能的代码（Ｓｈｅｌｌｃｏｄｅ），并使其执行，对安全系统构成　了极大威胁。而缓冲区溢出漏洞的利用，实质上就是使计算　可以实现许多操作，如弹出消息框、添加用户、上传木马、格式　化硬盘等。　机的进程跳入我们编写的Ｓｈｅｌｌｃｏｄｅ中去执行，分析研究Ｓｈｅｌ—　ｌｃｏｄｅ对于更好的认识与防范缓冲区溢出攻击有重要意义，如　文献［１．２】中介绍了通过对Ｓｈｅｌｌｃｏｄｅ进行检测来防范缓冲区溢　与之相关的，还有一个概念——　【ｐｌ０ｉｔ。研究Ｓｈｅｌｌｃｏｄｅ，　有必要弄清两者的关系。Ｅｘｐｌｏｉｔ可被译为“破解”或“利用”，　是指利用漏洞将代码植入的过程，包括定位并覆盖函数返回　出攻击的方法。Ｓｈｅｌｌｃｏｄｅ通常用汇编语言编写并需将其转换　成二进制机器码，其内容和长度又经常受到很多苛刻限制，开　地址，获取进程控制权，把ＥＩＰ传递给Ｓｈｅｌｌｃｏｄｅ使其执行，而　不管Ｓｈｅｌｌｃｏｄｅ究竟如何实现弹出消息框或是添加新用户等操　作。这就像导弹（Ｅｘｐｌｏｉｔ）与弹头（Ｓｈｅｌｌｃｏｄｅ）的关系，导弹可以　发和调试难度较大，目前大多数攻击采用的ＳｈｅＵｃｏｄｅ代码都　是来自于Ｉｎｔｅｒｎｅｔ，如通用漏洞测试平台Ｍｅｔａｓｐｌｏｉｔ就提供了一　些常用的Ｓｈｅｌｌｃｏｄｅ（如用于绑定端口反向连接、新建用户等）。　除了直接使用前人写好的Ｓｈｅｌｌｃｏｄｅ外，有时我们还需自己动　实现打击一个特定目标，而导弹上携带的弹头却可以是各种　功效的０　。因此Ｅｘｐｌｏｉｔ往往是针对特定漏洞的，而Ｓｈｅｌｌｃｏｄｅ有　一定的通用性。　手编写或将其进一步改进成更高质量的符合自己需求的Ｓｈｅｌ—　ｌｃｏｄｅ，这就需要对Ｓｈｅｌｌｃｏｄｅ的编写技术进行研究，本文针对　Ｗｉｎｄｏｗｓ平台下Ｓｈｅｌｌｃｏｄｅ的编写提取方法进行了研究，并给　出了Ｓｈｅｌｌｃｏｄｅ的验证方法。　２　Ｓｈｅｌｌｃｏｄｅ的原理　编写Ｓｈｅｌｌｃｏｄｅ的目的，是为了让目标程序偏离预期方式，　按编写者的意图运行。Ｓｈｅｌｌｃｏｄｅ以一组十六进制的字符串数　１　Ｓｈｅｌｌｅｏｄｅ概述　Ｓｈｅｌｌｃｏｄｅ是１９９６年ＡｌｅｐｈＯｎｅ在其论文（（ＳＭＡＳＨＩＮＧＴＨＥ　组表示，实质上对应着计算机能够直接执行的机器代码。计　算机在执行指令时，都只是执行当前指令指针（ＥＩＰ）指向的指　令。当前指令执行后，ＥＩＰ自动加１，指向下一条指令。若有　收稿日期：２００９．０４—１４；修订日期：２００９．０６．１９。　作者简介：迟强（１９８４－－），男，山东莱州人，硕士研究生，研究方向为网络安全与信息对抗；　罗红（１９６３－－），男，陕西西安人，博士，副教　授，研究方向为网络与信息安全；　乔向东（１９７０一），男，陕西佳县人，博士，副教授，研究方向为信息融合与信息安全。Ｅ—ｍａｉｌ：ｃｑ７２１６＠１６３．ｔｏｍ　

迟强，罗红，乔向东：基于堆栈的Ｗｉｎｄｏｗｓ　Ｓｈｅｌｌｃｏｄｅ编写方法研究　ＪＭＰ、ＣＡＬＬ、ＲＥＴ一类的指令，ＥＩＰ会被强行改变成指定的地　２０１０，３１（６）　１１９９　作系统下使用系统中断调用不同，在Ｗｉｎｄｏｗｓ平台下函数的　调用首先需要把函数所在的动态链接库ｌｏａｄ进去，然后用堆　栈传递参数，最后ＣＡＬＬ该函数的地址即可。　例如，为实现弹出一个消息框，需要调用这个函数：　ＭｅｓｓａｇｅＢｏｘＡ（ＮＵＬＬ，”ｈｅｌｌｏ，ＣＱ”，”ｈｅ１１ｏ，ＣＱ”，ＮＵＬＬ）　址，从而完成流程的跳转。编写Ｓｈｅｌｌｃｏｄｅ，是想用Ｓｈｅｌｌｃｏｄｅ的　数据把内存中原有的部分数据覆盖掉，之后设法使计算机的　指令指针ＥＩＰ指向Ｓｈｅｌｌｃｏｄｅ在内存中的开始位置，就可以执　行Ｓｈｅｌｌｃｏｄｅ，实现想要的功能　。　总结来说，编写一个Ｓｈｅｌｌｃｏｄｅ并使用之成功Ｅｘｐｌｏｉｔ需要　３个步骤：　编写此函数调用的汇编代码需要３个步骤。　：①装载动态　链接库ｕｓｅｒ３２．ｄｌｌ。ＭｅｓｓａｇｅＢｏｘＡ是动态链接库ｕｓｅｒ３２．ｄｕ的导　（１）定位程序溢出点，确定函数返回点的精确位置；　（２）编写一段可实现特殊目的的Ｓｈｅｌｌｃｏｄｅ代码；　出函数。大多数有图形化操作界面的程序都已经加载了这个　库；②在调用前需向栈中按从右至左的顺序压．）￣ＭｅｓｓａｇｅＢｏｘＡ　的４个参数；③调用ＭｅｓｓａｇｅＢｏｘＡ这个函数的入口地址。　（３）覆盖返回点地址，通过某些特定方式，引导指令指针　ＥＩＰ传递给Ｓｈｅｌｌｃｏｄｅ使其执行。　程序溢出点的定位和返回点的覆盖都属于Ｅｘｐｌｏｉｔ的过程，　这里不作过多研究，本文主要研究Ｓｈｅｌｌｃｏｄｅ编写的相关技术。　３　ＳｈｅＨｃｏｄｅ编写的关键技术　３．１　ＳｈｅＨｅｏｄｅ的编写方法　Ｓｈｅｌｌｃｏｄｅ是计算机可以直接执行的机器码，编写时要非　常严谨，即使是一些细微的差错，也会导致整个Ｓｈｅｌｌｃｏｄｅ的罢　工。下面主要讨论两种Ｓｈｅｌｌｃｏｄｅ编写的方法：　３．１．１高级语言反汇编提取法　这种方法的思路是：先用高级语言编写所需的实现特定　功能的Ｓｈｅｌｌｃｏｄｅ程序，然后用编译器（如Ｖｃ．ｒ＋６．Ｏ）编译、调试　并反汇编这个程序（如图１所示），从中整理出汇编代码对应的　机器码（ｏｐｃｏｄｅ），尽量减小它的体积并使它可注入（生成的代码　不包含ＮＵＬＬ字符），最后得到Ｓｈｅｌｌｃｏｄｅ。　图１程序的反汇编调试　采用这种方法经常会遇到一个问题，由高级语言直接反　汇编得到的Ｓｈｅｌｌｃｏｄｅ往往会含有ＮＵＬＬ（ＬｘＯ０），由于在字符数　组中，ＮＵＬＬ是用来终止字符串的，所以将来把Ｓｈｅｌｌｃｏｄｅ复制　到缓冲区的时候会导致异常。　为解决这个问题，就需要把ＮＵＬＬ转为ｎｏｎ－ｎｕｌｌｏｐｃｏｄｅ“’，　通常用其它具有相同功能的指令替换那些产生ＮＵＬＬ的指令　（如可用ｘｏｒ　ｅｂｘ，ｅｂｘ来代替ｍｏｖ　ｅｂｘ，Ｏ）；也可直接在Ｓｈｅｌｌｃｏｄｅ　的编写过程中使用不生成ＮＵＬＬ的指令加上ＮＵＬＬ，由此便产　生了下面一种编写Ｓｈｅｌｌｃｏｄｅ的方法。　３．１．２低级语言汇编提取法　这种方法的思路是：在用高级语言写完程序之后，不经过　编译器的编译与反汇编，直接根据函数调用的过程人工编写　相应的汇编代码，最后再提取出机器码。这种方法虽然看似　稍显复杂，但可以很好的避免出现ＮＵＬＬ，因此，在实际编写中　大都采用这种方法。　Ｓｈｅｌｌｃｏｄｅ的执行过程就是函数调用的过程。与Ｌｉｎｕｘ操　为了使示例更简洁，实验时己手动加载了ｕｓｅｒ３２．ｄｌ１。Ｍｅｓ—　ｓａｇｅＢｏｘＡ函数的入口地址可以通过ｕｓｅｒ３２．ｄｕ在系统中加载　的基址和ＭｅｓｓａｇｅＢｏｘＡ在库中的偏移相加得到。具体可用　ＶＣ＋＋６．０自带的工具“Ｄｅｐｅｎｄｓ”加载任一有图形界面的程　序获得。　如图２所示，ｕｓｅｒ３２．ｄｌｌ的基地址为０ｘ７７Ｄ１００００，Ｍｅｓｓａｇｅ－　ＢｏｘＡ的偏移地址为０ｘ０００４０７ＥＡ，两者相加就得到了Ｍｅｓｓａｇｅ—　ＢｏｘＡ在内存中的入口地址０ｘ７７Ｄ５０７ＥＡ。　图２计算ＭｅｓｓａｇｅＢｏｘＡ函数的入口地址　下面就可以根据函数调用的过程人工编写相应的汇编代　码了。首先参数入栈，先将ＥＢＸ清零，作为字符串的截断符，　然后将“ｈｅｌｌｏ，ＣＱ”字符串逆序压入栈中，第２和第３个参数重　复压入指向这个字符串的指针，表示消息框的文本和标题都　显示为“ｈｅｌｌｏ，ＣＱ”，第１个和第４个参数都设置为ＮＵＬＬ，最后　再ＣＡＬＬ函数地址。写出汇编代码如下：　ＸＯＲ　ＥＢＸ，ＥＢＸ　；将ＥＢＸ清零作为截断符　ＰＵＳＨ　ＥＢＸ　；避免“ＰＵＳＨ　０”中的ＮＵＬＬ　ＰＵＳＨ　０ｘ５　１４３２Ｃ６Ｆ　ＰＵＳＨ　０ｘ６Ｃ６Ｃ６５４８：压入“ｈｅｌｌｏ，ＣＱ”字符串　ＭＯＶ　ＥＡＸ，ＥＳＰ　：在ＥＡＸ中存放字符串指针　ＰＵＳＨ　ＥＢＸ　ＰＵＳＨ　ＥＡＸ　ＰＵＳＨ　ＥＡＸ　ＰＵＳＨ　ＥＢＸ　：４个参数从右至左入栈　Ｍ０Ｖ　ＥＡＸ．Ｏｘ７７Ｄ５０７ＥＡ　ＣＡＬＬ　ＥＡＸ　；调用ＭｅｓｓａｇｅＢｏｘＡ　将其十六进制机器码提取出来即可得到Ｓｈｅｌｌｃｏｄｅ：“Ｌｘ３３＼　ｘＤＢ＼ｘ５３＼ｘ６８＼ｘ６Ｆ＼ｘ２ＣＬｘ４３＼ｘ５　１Ｌｘ６８＼ｘ４８＼ｘ６５＼ｘ６Ｃ＼）【６Ｃ＼ｘ８Ｂ＼ｘＣ４＼　ｘ５３　５０＼】【５０＼）【５３　Ｂ８＼ｘＥＡ＼）【０７＼ｘＤ５＼】【７７ＬｘＦＦ￣ｘＤ０”。　３．２　ＳｈｅＵｅｏｄｅ的提取方法　在编写Ｓｈｅｌｌｃｏｄｅ的过程中都用到了提取机器码，其具体实　施也有下面３种方法：　３．２．１编译器调试提取法　这种方法是将汇编代码在编译器（如Ｖｃ＋＋６．０）中用ａｓｍ　＿

１２００　２０１０，３　１（６）　计算机工程与设计Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ｄｅｓｉｇｎ　这个方法具体实施起来也有几种不同的方式：　｛）嵌入，编译，按Ｆ１０调试，调出和汇编代码对应的机器码记　录即可。为了记录方便，也可以在汇编内存中直接拷贝，方法　４．１函数指针调用法　是用ＶＣ嵌入汇编并按Ｆ１０进入调试状态后，调出内存窗口，　输入ｅｉｐ，内存窗口就会显示从ｅｉｐ开始的数据，就是我们想要　的Ｓｈｅｌｌｃｏｄｅ代码，如图３所示。　图３　内存中提取机器码　３．２．２可执行文件提取法　另一种提取Ｓｈｅｌｌｃｏｄｅ的方法就是可执行文件提取法，将　汇编程序调试成功后，会生成ｅｘｅ可执行文件，将其用Ｏｌｌｙｄｂｇ　来加载，找到相应的机器码即可，如图４所示。　图４用Ｏｌｌｙｄｂｇ来提取机器码　３．２．３　Ｃ语言直接提取法　除了上面两种方法外，还有一种Ｃ语言直接提取法，这个　思路最早是由ｙｕａｎｇｅ提出，并由ｈｕｍｅ进一步优化的。它的思　路是Ｓｈｅｌｌｃｏｄｅ由汇编和Ｃ语言混合编写。汇编部分主要完成　动态定位函数地址，而Ｃ语言部分是完成程序的功能流程。　整个程序的本质，就是让编译器为我们生成二进制代码，然后　在运行时编码、打印输出　。　需要注意的是，上面编写出的Ｓｈｅｌｌｃｏｄｅ有一个缺点，就是　通用性不好。由于不同版本的操作系统，其动态链接库的加　载基址、导出函数的地址都可能不同，使用手工查出的函数地　址很可能会在其它计算机上失效，因此需要研究编写可以跨　平台使用的通用Ｓｈｅｌｌｃｏｄｅ的技术。解决Ｓｈｅｌｌｃｏｄｅ的通用性本　质上就是要解决函数地址的通用性，因此在实际使用中的　Ｓｈｅｌｌｃｏｄｅ需要动态地获得自身所需的ＡＰＩ函数地址。Ｗｉｎ３２　平台下Ｓｈｅｌｌｃｏｄｅ最常使用的方法，就是通过从进程控制块中　找到动态链接库的导出表，并搜索所需的ＡＰＩ地址，然后逐一　调用。　。关于通用Ｓｈｅｌｌｃ０ｄｅ的开发研究，在文献［３】中有详　细例解。　４验证ＳｈｅＨｃｏｄｅ的方法　当我们花费半天功夫编写出一个Ｓｈｅｌｌｃｏｄｅ，如何确定它　们是否正确有效？如何进行测试与调试？这就有必要研究　Ｓｈｅｌｌｃｏｄｅ的验证方法。　通常有两种方法：第１种实际测试法，就是在实际的溢出　程序中，使用提取出来的Ｓｈｅｌｌｃｏｄｅ进行测试。第２种Ｓｈｅｌｌｃｏｄｅ　直接执行法，是把Ｓｈｅｌｌｃｏｄｅ数组当成一个函数来执行。其中　方法二比较方便易行，下面重点介绍此方法。　打开Ｖｃ＋＋６．０，新建一个工程和Ｃ＋＋源文件，然后把Ｓｈｅｌｌ－　ｃｏｄｅ拷贝下来作为一个十六进制的字符串数组，最后在ｍａｉｎ　中添加下面一个语句即可。　（（ｖｏｉｄ（幸）（ｖｏｉｄ））＆Ｓｈｅｌｌｃｏｄｅ）（）；　这个语句把Ｓｈｅｌｌｃｏｄｅ转换成一个参数为空、返回值为空　的函数指针，并调用它。执行这一句就相当于执行Ｓｈｅｌｌｃｏｄｅ　数组里的数据。　我们可以用这段程序运行写好的或搜集到的Ｓｈｅｌｌｃｏｄｅ，　并调试之。若不能满足需求，也可以在调试的基础上稍作修　改，为它增加其它功能。　举例完整代码如下：　ｕｎｓｉｇｎｅｄ　ｃｈａｒ　ＳｈｅｌｌＣｏｄｅ［】＝　”＼ｘＦＣ＼Ｘ６８＼ｘ６ＡＬｘ０ＡＬｘ３８Ｌｘ１Ｅ＼）【６８＼】【６３　８９　Ｄｌ＼）【４Ｆ　６８＼）【３２、　ｘ７４＼ｘ９１Ｌｘ０Ｃ”　”＼ｘ８Ｂ＼ｘＦ４＼ｘ８Ｄ＼ｘ７Ｅ＼ｘＦ４＼ｘ３３＼ｘＤＢ＼ｘＢ７＼ｘ０４＼ｘ２Ｂ＼ｘＥ３＼ｘ６６＼　ｘＢＢ＼）【３３＼ｘ３２Ｌｘ５３”　”＼ｘ６８＼ｘ７５Ｌｘ７３＼ｘ６５＼】【７２＼】【５４＼ｘ３３＼ｘＤ２＼）【６４＼ｘ８Ｂ＼】【５Ａ＼】【３０＼ｘ８Ｂ＼　ｘ４Ｂ＼】【０ＣＬｘ８Ｂ”　”＼ｘ４９＼ｘｌＣ＼ｘ８Ｂ＼ｘ０９＼ｘ８Ｂ＼ｘ６９＼ｘ０８＼ｘＡＤ＼ｘ３Ｄ＼ｘ６Ａ＼ｘ０ＡＸｘ３８＼　ｘ１Ｅ＼）【７５＼ｘ０５＼】【９５”　”＼ｘＦＦＬｘ５７ＸｘＦ８＼】【９５＼）【６０Ｌｘ８ＢＬｘ４５＼）【３Ｃ＼ｘ８Ｂｋｘ４ＣＬｘ０５Ｌｘ７８Ｌｘ０３＼　ｘＣＤＬｘ８Ｂ、】【５９”　”＼】【２０＼）【０３ＬｘＤＤ＼ｘ３３ＸｘＦＦＬｘ４７　８ＢＬｘ３４ＬｘＢＢＸｘ０３ＬｘＦ５ｋｘ９９＼）【０Ｆ＼　ｘＢＥ＼ｘ０６＼）【３Ａ”　”　Ｃ４＼ｘ７４＼ｘ０８＼ｘＣｌ＼ｘＣＡ＼ｘ０７＼ｘ０３＼ｘＤ０＼ｘ４６＼ｘＥＢ＼ｘＦｌ＼ｘ３Ｂｔ　ｘ５４ｋｘ２４Ｌｘ１Ｃ　７５”　”＼ｘＥ４＼ｘ８Ｂ＼ｘ５９＼ｘ２４＼ｘ０３＼ｘＤＤ＼ｘ６６＼ｘ８Ｂ＼ｘ３Ｃ＼ｘ７Ｂ＼ｘ８ＢＸｘ５９＼　ｘ１Ｃ　Ｏ３＼）【ＤＤ＼）【Ｏ３”　”＼ｘ２Ｃ＼ｘＢＢ＼ｘ９５＼ｘ５Ｆ＼ｘＡＢ＼】【５７＼ｘ６ｌ＼ｘ３Ｄ＼ｘ６Ａ＼ｘＯＡ＼】【３８ｋｘ１　Ｅ＼　ｘ７５ｋｘＡ９Ｌｘ３３　江）Ｂ”　”＼ｘ５３＼】【６８＼ｘ６Ｆ￣ｘ２ＣＬｘ４３＼）【５　１Ｌｘ６８＼）【４８　６５＼）【６ＣＬｘ６Ｃ　８Ｂ＼】【Ｃ４＼　ｘ５３＼）【５０＼）【５０”　”　５３＼）【ＦＦ＼）【５７　ＦＣ　５３＼）【ＦＦ＼）【５７＼】【Ｆ８”：　ｉｎｔｍａｉｎ　０　｛　（（ｖｏｉｄ（＊）（ｖｏｉｄ））＆ＳｈｅｌｌＣｏｄｅ）Ｏ；　ｒｅｔｕｒｎ　０；　）　结果如图５所示。　４．２返回函数调用法　我们也可以使用这样一段简单的代码对Ｓｈｅｌｌｃｏｄｅ进行验　证调试：　ｃｈａｒ　ｓｈｅＵｃｏｄｅ［］＝”ＬｘＦＣＬｘ６８Ｌｘ６ＡＬｘ０ＡＬｘ３８ＬｘｌＥＬｘ６８…．．”；　／／欲调试的十六进制机器码　ｖｏｉｄｍａｉｎ　０　｛　ａｓｍ　一｛ｌｅａ　ｅａｘ，ｓｈｅｌｌｃｏｄｅ／／将ｓｈｅｌｌｃｏｄｅ的起始地址传递给寄存器　

迟强，罗红，乔向东：基于堆栈的Ｗｉｎｄｏｗｓ　Ｓｈｅｌｌｃｏｄｅ编写方法研究　２０１０，３　１（６）　１２０１　ｃａｌｌ　ｅａｘ／／直接用ｃａｌｌ语句调用ｓｈｅｌｌｃｏｄｅ　｝　总而言之，方法２就是把Ｓｈｅｌｌｃｏｄｅ数组当成一个函数，设　法调用它，使它可以直接执行。　５结束语　编写Ｓｈｅｌｌｃｏｄｅ不仅仅要考虑其实现的功能，还要考虑跨　平台、健壮性、稳定性、通用性等各方面因素。因此，要编写一　图５　Ｓｈｅｌｌｃｏｄｅ的验证方法１　段高质量的Ｓｈｅｌｌｃｏｄｃ，还需用到～些高级的编写技术，比如编　ｐｕｓｈ　ｅａｘ　／／将ｅａｘ中的值入栈　码技术、“瘦身”技术等，通过对Ｓｈｅｌｌｃｏｄｅ进行编码，可以有效　避免截断、使其符合目标程序对字符的规范要求，还可以突破　ｒｅｔ｝）　首先将Ｓｈｅｌｌｃｏｄｅ的起始地址传递给寄存器ｅａｘ，然后将　ＩＤＳ的探测；短小精悍的Ｓｈｅｌｌｃｏｄｅ可以应用在更小的内存空　间中，适应多种多样的缓冲区组织策略，具有更强的通用性。　ｅａｘ中的值ｐｕｓｈ入栈，最后ｒｅｔ指令会将ｐｕｓｈ进去的Ｓｈｅｌｌｃｏｄｅ　在栈中的起始地址弹给ＥＩＰ，让处理器跳转到栈区去执行Ｓｈｅｌｌ—　这些技术的研究将是以后工作的重点。　ｃｏｄｅ，示例如图６所示。　参考文献：　［１］　何乔，吴廖丹，张天刚．基于ｓｈｅｌｌｃｏｄｅ检测的缓冲区溢出攻击防　御技术研究［Ｊ］．计算机应用，２００７，２７（５）：１０４５—１０４９．　【２】　陈悦，薛质，王轶骏．针对Ｓｈｅｌｌｃｏｄｅ变形规避的ＮＩＤＳ检测技术　［Ｊ］．信息安全与通信保密，２００７，２３（１）：９９—１０３．　［３］　王清．０ｄａｙ安全：软件漏洞分析技术［Ｍ］．北京：电子工业出版社，　２００８：７２—７９．　［４】　Ａｒｈａｔ．Ｓｈｅｌｌｃｏｄｅｒ’ｓ　ｈａｎｄｂｏｏｋ：Ｄｉｓｃｏｖｅｒｉｎｇ　ａｎｄ　ｅｘｐｌｏｉｔｉｎｇ　ｓｅｃｕ—　ｒｉｔｙ　ｈｏｌｅｓ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｄｏｗｎｌｏａｄ．ｃｓｄｎ．ｎｅｔ／ｄｏｗｎ／７０４６—０４／　ｈｈｉｎｃｑ，２００７．　图６　Ｓｈｅｌｌｃｏｄｅ的验证方法２　［５］　王炜，方勇．Ｑ版缓冲区溢出教程［ＥＢ／０Ｌ］．ｈｔｔｐ：／／ｄｏｗｎ—ｌｏａｄ．　４．３地址直接调用法　ｃｓｄｎ．ｎｅｔ／ｓｏｕｒｃｅ／８０２４７７．２００８．　根据函数调用原理，也可以直接ｃａｌｌ函数的地址去执行　【６】　ＳＫＡＰＥ．Ｕｎｄｅｒｓｔａｎｄｉｎｇ　Ｗｉｎｄｏｗｓ　ｓｈｅｌｌｃｏｄｅ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／　Ｓｈｅｌｌｃｏｄｅ，这里当然是把Ｓｈｅｌｌｃｏｄｅ当成一个函数来看。具体　ｗｗｗ．ｈｉｅｋ．ｏｒｇ／ｃｏｄｅ／ｓｋａｐｅ／ｐａｐｅｒｓ／ｗｉｎ３２－ｓｈｅｌｌｃｏｄｅ．ｐｄｆ，２００３．　代码如下：　［７］　谭文，邵坚磊．从汇编语言到Ｗｉｎｄｏｗｓ内核编程［Ｍ］．北京：电子　ａｓｍ　工业出版社，２００８．　｛　【８】　许治坤，王伟，郭添森，等．网络渗透技术［Ｍ】．北京：电子工业出版　ｌｅａ　ｅａｘ，ｓｈｅｌｌｃｏｄｅ　社．２００５．　（上接第１　１９７页）　参考文献：　蒋卓明，许榕生．基于内容审计的千兆网络监控系统的设计［Ｊ］．　计算机应用研究，２００８，２５（４）：１１１４．１１１６．　［１］　中国互联网络信息中心．２００８年７月第２１次中国互联网络发　ＪｏｈｎｓｏｎＫ．ＩｎｔｅｒｎｅｔＥ．ｍａｉｌ协议开发指南【Ｍ］．北京：机械工业出　展状况统计报告［Ｚ］．　版社，２０００：１２４—１２８．　［２］　陈明建．电子邮件协议还原及分析系统的设计与实现【Ｊ］．计算　陈明建．高速网络数据的存储及内容监控【Ｄ］．福州大学，２００６．　机应用与研究，２００６，２０（１２）：２６５．２７０．　李庚．入侵检测中一种新的多模式匹配算法［Ｊ】＿计算机应用研　［３］　张诚，郝东白．基于正则表达式的ＷｅｂＭａｉｌ监控与审计［Ｊ】．计算　究，２００８，２５（８）：２４７４—２４７６．　机工程与设计，２００８，２９（１３）：３２７７—３２８２．　Ｙａｎｇ　Ｄｏｎｇ—Ｈｏｎｇ，Ｘｕ　Ｋｅ，Ｃｕｉ　Ｙｏｎｇ．Ａｎ　ｉｍｐｒｏｖｅｄ　Ｗｕ—Ｍａｎｂｅｒ　［４】　王佰玲，方滨兴，云晓春．零拷贝报文捕获平台的研究与实现［Ｊ］．　ｍｕｌｔｉｐｌｅ　ｐａｔｔｅｒｎｓ　ｍａｔｃｈｉｎｇ　ａｌｇｏｒｉｔｈｍ［Ｊ］．Ｊｏｕｒｎａｌ　ｏｆ　Ｔｓｉｎｇｈｕａ　计算机学报，２００５，２８（１）：４６２－４６６．　Ｕｎｉｖｅｒｓｉｔｙ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ，２００６，４６（４）：５５５２—５５５８．　［５］　李旭芳．网络信息审计系统中数据采集的研究与实现［Ｊ］＿计算　孙钦东，管晓宏．网络信息内容审计研究的现状及趋势［Ｊ］．计算　机工程与设计，２００７，２８（３）：５５０—５５２．　机研究与发展，２００９，４６（８）：１２４１．１２５０．