MS09-，刚刚触发了一下…… 在有破绽的系统中（或者你自动先把补丁给卸载了）要把对shellcode的挪用拦截住很简单。 找个现实的破绽行使网页，把其中的shellcode的声明语句中的shellcode的内容前面加上"uCCCCuCCCCuCCCC"，也就是加上几字节int 3代码。保留网页。若是找不到现实的网页，直接上milw0rm把谁人示例扒下来就行。 用IE7打开网页，允许ActiveX工具的执行。当IE7进到shellcode开头的时刻会触发其中一个int 3断点（说“其中一个”是由于这个有“或然性”，由于不是直接call进shellcode开头，而是call进前面的"uODOD"序列，因此哪个int 3被当成int 3要看几率）。这时由于SEH没有处置这个软断点，程序会报错，这时就轮到JIT调试器进场了。 在报错的框里点“调试”（或者实时调试器设置好了自动选项，那么没有提供框直接启动）启动你设置的实时调试器，使IE历程中止到调试器中。 为了利便加载符号和看栈回溯，这里我用了windbg作为JIT调试器。用OD也是一样的。 中止到windbg时的信息（省略N行加载模块的信息）： (f28.): Break instruction exception - code (!!! second chance !!!) eax=0f6fbffd ebx= ecx=0b0bffff edx= esi=f0 edi= eip=0d18ea06 esp=01e6ef0c ebp=01e6ef18 iopl=0 nv up ei pl nz na po nc cs=b ss= ds= es= fs=b gs= efl= 0d18ea06 cc int 3 看看中止时的代码位置： 0:gt; u eip l10 0d18ea06 cc int 3 0d18ea07 cc int 3 0d18ea08 cc int 3 0d18ea09 cc int 3 0d18ea0a cc int 3 0d18ea0b cc int 3 0d18ea0c d9e1 fabs 0d18ea0e d fnstenv [esp] 0d18ea11 58 pop eax 0d18ea12 58 pop eax 0d18ea13 58 pop eax 0d18ea14 58 pop eax 0d18ea15 33db xor ebx,ebx 0d18ea17 b31c mov bl,1Ch 0d18ea19 03c3 add eax,ebx 0d18ea1b 31c9 xor ecx,ecx 可以看到确实是断在shellcode头部了 进行栈回溯，看看是哪个函数call进shellcode里的： 0:gt; kv ChildEBP RetAddr Args to Child