在前面編寫Shellcode的過程中，我們用到的字符串要么直接使用DB定義，要么通過PUSH直接壓入棧上（相當于定義局部變量），這樣的話，如果一個Shellcode中的字符串多一點的話，僅字符串就要占用不少空間。而且，在1.7節中，我們在kernel32.dll的導出表中查找函數名稱的時候，有一個字符串比較的過程，要將我們指定的函數名（如LoadLibraryA）與導出表中的函數名比較，這樣一方面我們要保存需要查找的函數名，另一方面比較字符串占用了比較多的代碼。還有，字符串問題會有前面的NULL字節的問題。

我們能不能把字符串去掉一些呢？常用的方法是Hash，即將一個字符串算出一個Hash值，然后進行比較，這樣，我們就不需要保存待查找的函數名，而只保存一個Hash值，同樣，比較的代碼也會少一些。當然，效率可能會降低，因為每個字符串都需要算完整的Hash值，而直接比較的話，差別比較大的字符串馬上就可以判斷出來。但在Shellcode中，效率一般不是優先考慮的，優先考慮的是代碼體積，如果能用十幾個字節能解決問題，就不要用幾十個字節，因為，有漏洞的程序留給我們可用的空間是有限的，每一個字節都是寶貴的。而且，代碼量越大，隱蔽性越差，被人發現的概率越大。

那么需要找一個字符串Hash算法，這個算法至少要保證在一個dll中，所有的函數名算出來的Hash值是唯一的。最常用的是ROR13 Hash算法，這也是Metasploit中使用的算法，它的思想如下：

/*********************************************************/ acc := 0; for c in input_string do // 對于字符串中的每個字符 acc := ROR(acc, 13) // 先將acc循環右移13位 acc := acc+c // 與當前字符求和 end /*********************************************************/

• 1
• 2
• 3
• 4
• 5
• 6
• 7

算法來自：https://www.fireeye.com/blog/threat-research/2012/11/precalculated-string-hashes-reverse-engineering-shellcode.html

這里只記錄這樣一個方法，具體實現與上一節大同小異，不過是換掉函數compare_string而已，就不寫代碼了。?
實現請看這篇文章：http://www.tophertimzen.com/blog/shellcodeTechniquesCPP/

總結

以上是生活随笔為你收集整理的栈溢出笔记1.8 字符串问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。