Findtrampoline

Этот скрипт предлагает похожий функционал что и findjmp или Metasploit’s msfpescan tools, когда ищешь подходящие обратные адреса с использованием классического переполнения стека. Это позволяет вам искать jmp <reg>, call <reg> и push <reg> + ret комбинации. (но без поиска pop pop ret комбинаций, который возможен с findjmp и msfpescan)

Вы можете вызвать скрипт findtrampoline открыв окно PyCommand и выбрав запуск скрипта findtrampoline:

Двойным щелчком, войдите в регистр, который вы хотите найти в качестве аргумента, и нажмите “OK” для запуска скрипта:

Теперь дождитесь завершения поиска. Поиск ведется по всем загруженным модулям для jmp esp (в нашем примере) и за тем выводит число найденных trampolines/адресов:

В противовес (Alternatively),запустите в!findtrampoline команду <reg> внизу экрана (command line), чтобы ускорить скрипт.

Оба вызовут для проведения 3 операции поиска (jmp, call, and push+ret)

Чтобы увидеть результаты, откройте окно “Log data”:

Чтобы увидеть какая инструкция была найдена, выберите адрес и дважды щелкните по нему. Затем откройте окно “CPU”

Так же, можно пользоваться командой!searchcode, чтобы найти инструкцию f.i. jmp esp:

(Программа выделит адрес, модуль (dll) и была ли инструкция на используемой странице или нет.) Конечно, команда searchopcode так же хорошо работает, но!findtrampoline найдет все работающие комбинации (тогда как searchopcode требует специальных инструкций для поиска)