豆瓣
扫码直接下载
第15章习题 Lab15.3中通过SEH来执行恶意代码,其还原存在一个问题
mov eax,large fs:0 // 获取Esp
mov eax,[eax] // 获取ExceptionList
mov eax,[eax] // 获取Next
mov large fs:0 eax; // 还原fs:0
如下代码,其不仅将恶意代码从链表中摘除,也会摘除正常的第一个_EXCEPTION_REGISTRATION_RECORD。
看到的有木有人给一下回复.