现在的很多有溢出漏洞的程序对ShellCode都有特定的要求，一类是对ShellCode的长度大小有限制；另一类就是不能出现某些特殊字符，比如Cmail漏洞不能有大写字母啊，Foxmail不能有0x2E，0x2F字符一类的，

要ShellCode避免出现特殊字符，有两种方法：一种是编写好ShellCode后，对不合要求的字符进行指令等价变换。比如，一些IIS漏洞里面不能出现0x20，对指令Mov eax, 20h，就可以改为Mov eax, 24h；sub eax, 04h；这样来避免出现0x20。这种等价变换法对有少量字符限制的情况比较实用，但如果限制的字符较多，这种方法就比较困难了。

另一种就是把代码分成两块，第二块是EnShellCode，即编过码后的ShellCode，完成我们想要功能比如开端口，反向连接的ShellCode有不合法的字符，所以我们利用一定的算法，把初始的ShellCode进行一定的变换编码，变成合法的EnShellCode后放在第二块，而第一块是完成解码的Decode，其功能是把EnShellCode重新变回初始的ShellCode后，再跳过去执行。

当然Decode和EnShellCode里面不能有非法的字符，否则变换就失去了意义。在这篇文章里，主要讨论算法F的变换，和逆算法F’在Decode里的实现。

NO1：XOR大法

XOR是指按位异或，其运算规则是相同为0，不同为1，即：

0 xor 0 = 0

0 xor 1 = 1

1 xor 0 = 1

1 xor 1 = 0

根据运算规则，我们可以推出对于某个值X，密钥Key，有如下等式成立：

X xor Key = Z Z xor Key = X ====> X xor Key xor Key = X

即一个值对同一个数，异或两次后，得到的结果为其原值。我们可以利用该性质，来实现变换算法F和逆算法F’。

变换算法F： 算法很简单，我们把ShellCode数组里的每一个字符ShellCode，与某一密钥Key作异或，就得到EnShellCode，保存在EnShellCode数组中。这里令密钥Key为0x97，当然也可以改成其它值：

逆算法F’：

Decode中要把EnShellCode重新变回ShellCode，根据上面的分析，只需要将EnShellCode里面的字符，再异或编码时的Key就可以了，所以也比较简单。实现的汇编代码如下：

jmp Decode_end

Decode_start:

pop edx // 得到解码开始位置 esp -> edx

dec edx

xor ecx,ecx

mov cx,0x200 //要解码的 EnShellCode, 长度0x200应该足够

Decode_loop:

xor byte ptr [edx+ecx], 0x97 // 因为编码时用的Key是0x97，所以解码要一样

loop Decode_loop

jmp Decode_ok

Decode_end:

call Decode_start

Decode_ok:

我们把上面的汇编转换成机器码，就得到了Decode的代码；然后在后面附上EnShellCode的代码，就得到了完整的部分了。

小结：

Xor大法是最早使用，同时也是现在最常见的编码方法。它最大的好处是编码和解码都比较简单，而且也可以避开一定的字符，比如ASCII为0的字符，通常ShellCode是以字符串形式传送过去，为0的字符会被认为是字符串的结束标志而导致截断后面的字符；而用Xor方法经过编码后，为0的字符就会被编码成其他的值，从而避免被截断。

该方法也有一定适应性，如果ShellCode异或某个Key后还有非法字符，可以尝试改变Key的值，直到完全合法为止。

当然，这种方法的缺点也很明显，当限制字符较多，或限制字符是一个较大的范围的时候，那很有可能找不到合适的Key来符合限制要求。在这种情况下，我们就需要用其他的算法来实现编码和解码了。

NO2：直接替换法

我们在编码的时候，先对每一个字符都进行异或编码。如果某个字符异或后，还是非法字符，则再单独对该字符进行处理，变换成合要求的字符，这就是直接替换法。该方法最早可以在Yuange的文章中看到。

变换算法F：

其思想是ShellCode的每一个字符ShellCode先和Key作异或得到Temp，如果合法，就直接将Temp保存在EnShellCode当中；如果不合法，则将EnShellCode存为‘0’，而把EnShellCode[i+1]存为temp+‘0’。算法示意图如下图3所示：

这里‘0’只是一个标志，我们遇到了‘0’，就知道这里只是个标志，后面一位才是真正的ShellCode，减去‘0’后就可以恢复原来的值。当然我们也可以把‘0’换成其他的字符，这里只是一种思想。其实现代码如下：

int nShellCodeLen = strlen(ShellCode);

k = 0;

for(i=0;i{

temp = ShellCode^Key;

//对一些可能造成shellcode失效的字符进行替换

if(temp<=0x1f|| temp=='.'|| temp=='/'|| temp=='0'|| temp=='?')

{

EnShellCode[k]='0';

++k;

temp+=0x31;

}

EnShellCode[k]=ch;

++k;

}

逆算法F’：

清楚了编码的方法后，那解码的思想也很容易理解，ShellCode编码变形大法》(https://www.unjs.com)。就是判断EnShellCode的每个字符，如果不是‘0’，就直接异或Key变回去；如果是‘0’，就把后面的那个字符减去‘0’后再异或Key，就这样恢复以前的ShellCode。实现的汇编代码如下：

jmp Decode_end

Decode_start:

pop edi

push edi

pop esi

xor ecx,ecx

Decode_loop:

Lodsb

cmp al,cl

jz Decode_ok

cmp al,0x30 //判断是否为标志’0’

jz special_char_clean //如果是，就跳去特殊字符处理

store:

xor al, key

stosb //保存解码后的ShellCode

jmp Decode_loop

special_char_clean: //特殊字符处理，把后一位字符减去0x31，就恢复原来的值

lodsb

sub al,0x31

jmp store

Decode_end:

call Decode_start

Decode_ok: //其余真正加密的shellcode代码会连接在此处

同样，我们把上面的汇编转换成机器码，就得到了Decode的代码，然后在后面附上EnShellCode的代码，就得到了完整的代码了。

小结：

该方法十分巧妙，灵活的运用可以解决很多字符限制的问题，比如对Cmail就可以把不合规范的大写字母减去一个值变成小写字母，当然在前面放上一个标志；解码的时候看见这个标志，就把后面的字母加上那个值，从而得到了恢复。

Decode的代码本身就需要是合法的字符。如果有些不合要求的字符，可以采用微调的方式，使其符合限制条件。如果微调无效，那就需要采用其他的算法了。

NO3：拆分法

这种方法是F.zh在《 防线》第8期上提出的，他的思路是把ShellCode拆分成几个数字的和，由于和的组合方式有很多种，所以可以避免大量的ASCII字符；他还提到，在32位的计算机上，每四个字节处理比较方便，所以最好拆分成4个数字的和。即：

ShellCode ＝ w + x + y + z

这个思想有相当的创造性，So Cool！如果有什么不明白，可以仔细看看第8期防册的《定制特殊的ShellCode之一》一文。

变换算法F：

把ShellCode取出来，穷举下所有的求和组合的情况，如果一个组合可以满足不包含任何的限制字符，那该拆分就是合法的，就把它保存为EnShellCode，然后再考虑ShellCode的下一位ShellCode[i+1]，直到所有ShellCode字符拆分完毕。我们就得到了符合限制条件的EnShellCode。实现代码……呵呵，还是请参看原文吧。

逆算法F’：

也很简单，就是得到EnShellCode的头后，依次取四个字节相加，然后放入内存。F.zh在原文中也给出了Decode的汇编代码，很清晰，建议大家好好看看。

小结：

是种不错的方法，而且其创新思维也值得我们学习，实在是Cool弊了！

其它算法简介

从上面几种方法的介绍应该可以看出，其实只要满足下面条件的算法F和逆算法F’，都可以用于编码变换ShellCode。

所以只要有好的算法和符合编码限制的实现，都可以用于ShellCode的编码。在实际中，还有一些使用过的编码算法有：Yuange在《Widechar的字符串缓冲溢出攻击技术》中提出来的，把ShellCode＝0xAB = A*0x10+B的进行拆分，恢复就用0xA*0x10+0xB=0xAB。这个算法在Webdav漏洞攻击的时候得到了广泛的运用。算法的代码，可以参看yuange和isno的文章。还有F.zh提到的，Xor一个4字节的数字，比如0x123456，这样也可以大量减少出现非法字符的可能。

这篇文章更多的是对编码算法作一些总结，主要目的还是想起抛砖引玉的作用，如果有更好的办法，希望大家可以一起讨论，一起进步。