MS09-002，刚刚触发了一下…… 在有漏洞的系统中（或者你主动先把补丁给卸载了）要把对shellcode的调用拦截住很简单。 找个实际的漏洞利用网页，把其中的shellcode的声明语句中的shellcode的内容前面加上"%uCCCC%uCCCC%uCCCC"，也就是加上几字节int 3代码。保存网页。如果找不到实际的网页，直接上milw0rm把那个示例扒下来就行。 用IE7打开网页，允许ActiveX对象的执行。当IE7进到shellcode开头的时候会触发其中一个int 3断点（说“其中一个”是因为这个有“或然性”，因为不是直接call进shellcode开头，而是call进前面的"%uODOD"序列，因此哪个int 3被当成int 3要看几率）。这时由于SEH没有处理这个软断点，程序会报错，这时就轮到JIT调试器出场了。 在报错的框里点“调试”（或者实时调试器设置好了自动选项，那么没有提供框直接启动）启动你设置的实时调试器，使IE进程中断到调试器中。 为了方便加载符号和看栈回溯，这里我用了windbg作为JIT调试器。用OD也是一样的。 中断到windbg时的信息（省略N行加载模块的信息）： (f28.460): Break instruction exception - code 80000003 (!!! second chance !!!) eax=0f6fbffd ebx=00000000 ecx=0b0bffff edx=00000002 esi=039953f0 edi=80020003 eip=0d18ea06 esp=01e6ef0c ebp=01e6ef18 iopl=0         nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000             efl=00000202 0d18ea06 cc              int     3 看看中断时的代码位置： 0:005> u eip l10 0d18ea06 cc              int     3 0d18ea07 cc              int     3 0d18ea08 cc              int     3 0d18ea09 cc              int     3 0d18ea0a cc              int     3 0d18ea0b cc              int     3 0d18ea0c d9e1            fabs 0d18ea0e d93424          fnstenv [esp] 0d18ea11 58              pop     eax 0d18ea12 58              pop     eax 0d18ea13 58              pop     eax 0d18ea14 58              pop     eax 0d18ea15 33db            xor     ebx,ebx 0d18ea17 b31c            mov     bl,1Ch 0d18ea19 03c3            add     eax,ebx 0d18ea1b 31c9            xor     ecx,ecx 可以看到确实是断在shellcode头部了 进行栈回溯，看看是哪个函数call进shellcode里的： 0:005> kv ChildEBP RetAddr Args to Child