[ASM] Récupération registre EIP

Note de ce sujet :

Moyenne : 0 (0 vote(s))
1
2
3
4
5

Affichage linéaire

[ASM] Récupération registre EIP

15-01-2013, 03h12 (Modification du message : 15-01-2013, 03h20 par gruik.)

Message : #3

gruik

gouteur de savon

Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012

RE: [ASM] Récupération registre EIP

yep, c'est le trick bien connu du call/pop qu'on trouve aussi dans les shellcodes à l'ancienne Wink

à noter que ça fait typiquement office de signature pour la détection de shellcodes justement (cf libemu)

un autre trick existe aussi qui utilise les instructions du coprocesseur math x87 fldz et fstenv

Code ASM :

$ echo -ne "\xd9\xee\xd9\x74\xe4\xf4\x58" | ndisasm.exe -u -

00000000  D9EE              fldz

00000002  D974E4F4          fnstenv [esp-0xc]

00000006  58                pop eax

et il semblerait qu'il y ait au moins une autre methode via les seh sous windows
http://skypher.com/wiki/index.php/Hackin...code/GetPC

(2)

(0) Répondre

« Sujet précédent | Sujet suivant »

Messages dans ce sujet

[ASM] Récupération registre EIP - par Yttrium - 13-01-2013, 19h57

RE: [ASM] Récupération registre EIP - par supersnail - 13-01-2013, 20h05

RE: [ASM] Récupération registre EIP - par gruik - 15-01-2013, 03h12

RE: [ASM] Récupération registre EIP - par Horgh - 15-01-2013, 19h34

Voir une version imprimable

Atteindre :

Utilisateur(s) parcourant ce sujet : 2 visiteur(s)

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler