在缓冲区溢出的攻击中，本来已经调试好的漏洞利用程序，由于动态链接库的装入和卸载等原因， windows进程的函数栈帧很可能产生“移位”，因此：利用成片数据简单地把返回地址覆盖成一个定值的做法往往不能让exploit奏效， 为了不至于10次中只有2次才能成功运行shellcode，我们通常使用“跳板”技术来完善这段shellcode， 常用“跳板”有：jmp eax;机器码为（16制）FF E0，jmp esp;机器码为（16制）FF E4，call esp;机器码为（16制）FF D4等等， 下面以USER32.DLL中的一个“jmp esp”为例，搜索内存中的跳板，实现代码如下： #include <windows.h> #include <stdio.h> #define DLL_NAME "user32.dll" //此处可改为内存中其它的动态链接库 main() { BYTE* ptr; int position,address; HINSTANCE handle; BOOL done_flag = FALSE; handle=LoadLibrary(DLL_NAME); if(!handle) { printf(" load dll erro !"); exit(0); } ptr = (BYTE*)handle; for(position = 0; !done_flag; position++) { try { if(ptr[position] == 0xFF && ptr[position+1] == 0xE4) { //0xFFE4是JMP ESP的机器码，可改为其它的跳板 int address = (int)ptr + position; printf("OPCODE found at 0x%x\n",address); } } catch(...) { int address = (int)ptr + position; printf("END OF 0x%x\n", address); done_flag = true; } } }