堆栈平衡，什么是堆栈平衡

03426 POP EAX 1 byte 堆栈平衡 03427 PUSH EDI 1 byte 03428 POP EAX 1 byte EAX=EDI SHARE NAME LONG ， 后面要用 刚好字节够用，注意DATA_0182 那儿有重定位那种字节不能简单改动你可以把你的好的程序好的游戏加上一小段代码这么改动他的VSERVERVXD文件，最好是硬盘的WINDOWS安装目录堆栈平衡；ESP定律，又称堆栈平衡定律，是逆向工程中应用频率极高的脱壳方法之一无论是新手还是老手，在逆向分析加壳程序时，经常会用到这一原理一前置知识 栈Stack栈是内存中分配的一段空间，用于存储临时数据入栈push将新元素放入栈顶，使之成为新的栈顶元素出栈pop将栈顶元素删除，使其相邻的元素成为新。

可以通过堆栈平衡的方法找到接近Fack_API_Entry出口的位置通过脚本控制单步执行，寻找真实被调用的API处理VM或混淆代码幸运的是，SE中的Fack_API_Entry出口处并不存在大量的VM或混淆代码，这使得修复过程相对简单四实现过程 通过ESP定律找到程序的OEP使用ODOllyDbg加载程序，停在壳的OEP上；一般此指令的eax值都是dword security_cookie，故名思议，主要用来检验堆栈平衡的，在进入时存入xor security_cookie值，在函数尾部进行校验比对，如果不匹配则抛出异常eax。

堆栈平衡什么意思

1、以下是 sub_435DEC 栈帧开辟及返回地址存储的汇编代码调用 strcpy 函数复制数据到缓冲区中，第一个参数 des 通过 a0 寄存器传入函数执行完毕后，进行堆栈平衡，恢复 S0~S5 寄存器，恢复 ra 寄存器到函数返回地址，并跳转执行搭建漏洞环境，使用 qemusystemstatic 实现首先使用 qemumipsel。

2、利用堆栈平衡定位可能的API调用点这种方法相对简单，因为SE的Fake_API_Entry出口处没有复杂的保护机制修复或重建IAT解压目标程序关注那些没有壳SDK调用和大量VM的程序，进行IAT的修复或重建针对API地址的随机化或运行时替换调用进行修复，以减少对程序性能的影响具体实现步骤通过ESP定律找到程序。

3、例如，系统底层库依赖问题内核差异指令差异堆栈平衡系统驱动对国产平台特别是处理器指令尤其敏感等引发的各种兼容性问题，以及图形桌面环境差异问题等安天智甲信创版针对这些问题进行了深入的技术研发，实现了在不同国产平台及其不同版本的兼容性，以及在不同国产平台下的稳定运行同时，它还完美。

4、IAT，即导入地址表，加壳会重建它获取正确的IAT是脱壳的另一个挑战，因为壳在运行时会动态调整常见的脱壳方法包括单步跟踪法ESP定律法内存镜像法等这些方法利用程序的执行流程堆栈平衡和内存结构来定位OEP并恢复程序代码以下是几种常见壳的脱壳实践UPX脱壳通过ESP定律，观察堆栈变化，找到。

5、在寄存器里面有很多寄存器虽然他们的功能和使用没有任何的区别，但是在长期的编程和使用中，在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义，比如EAX一般用来做返回值，ECX用于记数等等在win32的环境下EBP寄存器用与存放在进入call以后的ESP的值，便于退出的时候回复ESP的值，达到堆栈平衡的目的。

6、ESP定律，又称为堆栈平衡定律，是脱壳领域中使用频率极高的方法之一尽管该定律的发现者身份已无从考证，但它的重要性却不可忽视0x01 前置知识栈 栈是内存中分配的一段空间，用于存储临时数据当执行call指令时，程序会将下一条指令的地址压入栈中，并跳转到该地址与此相对应，ret和retf指令用。

堆栈平衡原理

1、下断在创建进程的函数 CreateProcess ，在中断在该函数处，设置eip指针到函数的retn，使堆栈平衡eax 返回值 ，可以设置为一个非0值，表示创建进程成功此时可以用另一个od打开新的进程即可。

2、3 获取正确的导入地址表 IAT是程序中用于存储导入函数地址的表，加壳会重建IAT 由于壳在运行时会动态调整IAT，因此获取正确的IAT是脱壳的另一个挑战 可以通过分析程序的执行流程堆栈平衡和内存结构等方法来恢复正确的IAT4 掌握常见的脱壳方法 单步跟踪法通过动态调试工具单步执行程序。

3、对于类似C语言这样的高级语言，系统栈的PUSHPOP等堆栈平衡细节是透明的一般说来，只有在使用汇编语言开发程序的时候，才需要和它直接打交道注意系统栈在其他文献中可能曾被叫做运行栈调用栈等如果不加特别说明，本书中所述及的栈都是指系统栈这个概念考试大请您注意将其与编写非递归函数。

4、打开易语言启动易语言53开发环境进入系统配置 点击顶部菜单栏的 “工具”在下拉菜单中选择 “系统配置”定位编译选项 在“系统配置”窗口中，切换至 “编译” 标签页启用堆栈检查 找到选项 “调用DLL命令后是否检查堆栈错误”，勾选该复选框此设置会在程序调用DLL后自动验证堆栈平衡，避免因。

5、这里需要注意的是，查看函数返回代码是为了保证堆栈平衡，关于堆栈平衡原理就不详细说了但是在OD里面修改了是没有用的，使用UltraEdit或WinHex打开IarIdePmexe，搜索原函数入口附件十六进制数据，然后根据修改后的数据替换，具体步骤就不阐述了，自己搜索这样处理之后，再直接运行IAR，就不会有弹出提示对话。

6、API地址分散存储在壳段中，每个API地址对应一个Fack_API_Entry旧版本的壳中，读取API地址的代码段是唯一的，便于分析和下断点然而，新版本的SE中，每个API都有独立的代码段，使得L4Nce的修复脚本无法直接应用为了解决这个问题，堆栈平衡我采用的方法是寻找Fack_API_Entry的出口，利用堆栈平衡定位可能的API。

7、在汇编中 一个子程序call有几个参数push就需要几个RETURN堆栈平衡 因为push压入的是四字节 所以有几个push 也就需要几个RETN 4push数量*4请采纳从堆栈弹出4个字节，典型的stdcall约定的一环，由被调用方清理堆栈RET操作数表示释放参数由调用者传入所占用的栈空间retn，re。

8、顺序从右向左方式利用栈传递2 堆栈平衡 调用者平衡堆栈在__thiscall调用约定中，调用者负责平衡堆栈即外平栈3 this指针的传递 如果参数个数确定，this指针通过ecx寄存器传递给被调用者如果参数不确定即变参函数，this指针在所有参数被压栈后压入栈堆4 堆栈清理 对于参数。

上一篇： oracle索引，oracle索引的作用及原理

下一篇： 比特币矿池，比特币矿池哪个好