堆栈平衡，什么是堆栈平衡

ESP定律堆栈平衡，又称堆栈平衡定律，是逆向工程中应用频率极高堆栈平衡的脱壳方法之一无论是新手还是老手，在逆向分析加壳程序时，经常会用到这一原理一前置知识 栈Stack栈是内存中分配堆栈平衡的一段空间，用于存储临时数据入栈push将新元素放入栈顶，使之成为新的栈顶元素出栈pop将栈顶元素删除，使其相邻的元素成为新。

ESP定律，又称为堆栈平衡定律，是脱壳领域中使用频率极高的方法之一尽管该定律的发现者身份已无从考证，但它的重要性却不可忽视0x01 前置知识栈 栈是内存中分配的一段空间，用于存储临时数据当执行call指令时，程序会将下一条指令的地址压入栈中，并跳转到该地址与此相对应，ret和retf指令用。

在masm32中一个函数即使堆栈不平衡，在函数的末尾也有mov esp，ebp pop ebp进行平衡 的函数开始的push ebp是用来保存ebp寄存器函数调用者栈帧的栈底的，同时对与微软系列的编译器，局部变量采用ebpX来访问 mov edb，esp是函数的调用者的栈帧的栈顶作为一个新的栈帧的开始 两行代码之后 堆栈。

顺序从右向左方式利用栈传递2 堆栈平衡 调用者平衡堆栈在__thiscall调用约定中，调用者负责平衡堆栈即外平栈3 this指针的传递 如果参数个数确定，this指针通过ecx寄存器传递给被调用者如果参数不确定即变参函数，this指针在所有参数被压栈后压入栈堆4 堆栈清理 对于参数。

一般此指令的eax值都是dword security_cookie，故名思议，主要用来检验堆栈平衡的，在进入时存入xor security_cookie值，在函数尾部进行校验比对，如果不匹配则抛出异常eax。

下断在创建进程的函数 CreateProcess ，在中断在该函数处，设置eip指针到函数的retn，使堆栈平衡eax 返回值 ，可以设置为一个非0值，表示创建进程成功此时可以用另一个od打开新的进程即可。

对于类似C语言这样的高级语言，系统栈的PUSHPOP等堆栈平衡细节是透明的一般说来，只有在使用汇编语言开发程序的时候，才需要和它直接打交道注意系统栈在其他文献中可能曾被叫做运行栈调用栈等如果不加特别说明，本书中所述及的栈都是指系统栈这个概念考试大请您注意将其与编写非递归函数。

X64架构参数主要通过rcxrdxr8r9等寄存器传递，减少了堆栈的使用，从而简化了堆栈平衡的问题同时，通过修改rsp+0x20等地址来扩展参数传递，使得函数调用更加高效和易于调试综上所述，X86和X64在调试和数据分析时的差别主要体现在内存寻址空间寄存器差异以及函数调用约定等方面这些差别使得X。

可以通过堆栈平衡的方法找到接近Fack_API_Entry出口的位置通过脚本控制单步执行，寻找真实被调用的API处理VM或混淆代码幸运的是，SE中的Fack_API_Entry出口处并不存在大量的VM或混淆代码，这使得修复过程相对简单四实现过程 通过ESP定律找到程序的OEP使用ODOllyDbg加载程序，停在壳的OEP上。

在新版本中，API地址分散存储在壳段中，每个API地址对应一个Fake_API_Entry每个API都有独立的代码段，使得直接下断点的方法不再有效寻找Fake_API_Entry的出口利用堆栈平衡定位可能的API调用点这种方法相对简单，因为SE的Fake_API_Entry出口处没有复杂的保护机制修复或重建IAT解压目标程序。

“what”指针指向shellcode地址，“where”指针指向一个安全可靠的内存区域通过修改这两个指针，可以调用NtQueryIntervalProfile函数并覆盖关键内存，实现提权在实现过程中，需要关注堆栈平衡问题，确保shellcode中堆栈状态的正确性实践与学习参考示例代码，了解如何计算HalDispatchTable+0x4的地址，以及。

API地址分散存储在壳段中，每个API地址对应一个Fack_API_Entry旧版本的壳中，读取API地址的代码段是唯一的，便于分析和下断点然而，新版本的SE中，每个API都有独立的代码段，使得L4Nce的修复脚本无法直接应用为了解决这个问题，我采用的方法是寻找Fack_API_Entry的出口，利用堆栈平衡定位可能的API。

IAT，即导入地址表，加壳会重建它获取正确的IAT是脱壳的另一个挑战，因为壳在运行时会动态调整常见的脱壳方法包括单步跟踪法ESP定律法内存镜像法等这些方法利用程序的执行流程堆栈平衡和内存结构来定位OEP并恢复程序代码以下是几种常见壳的脱壳实践UPX脱壳通过ESP定律，观察堆栈变化，找到。

以下是 sub_435DEC 栈帧开辟及返回地址存储的汇编代码调用 strcpy 函数复制数据到缓冲区中，第一个参数 des 通过 a0 寄存器传入函数执行完毕后，进行堆栈平衡，恢复 S0~S5 寄存器，恢复 ra 寄存器到函数返回地址，并跳转执行搭建漏洞环境，使用 qemusystemstatic 实现首先使用 qemumipsel。

3 获取正确的导入地址表 IAT是程序中用于存储导入函数地址的表，加壳会重建IAT 由于壳在运行时会动态调整IAT，因此获取正确的IAT是脱壳的另一个挑战 可以通过分析程序的执行流程堆栈平衡和内存结构等方法来恢复正确的IAT4 掌握常见的脱壳方法 单步跟踪法通过动态调试工具单步执行程序。

上一篇： 计算机网络是计算机技术和，计算机网络是计算机技术和应用吗

下一篇： 销售易，销售易下载