程序崩溃了，用yastr.dll定位问题问题。看看是堆被破坏了，还是栈被破坏了，还是其他异常问题。所以yastr.dll接管了目标应用程序的异常处理。

使用，用一个loader把yastr.dll注入到目标进程就可以。。。dbgview看输出信息。。
可以获取到的信息
线程的CONTEXT, 调用栈， SEH处理，栈的开始和结束。
进程堆得信息。

yastr.dll会替换掉异常处理函数，所以程序出错时会获得通知。

下图是下

YYY。。溢出懂点点。有问题还指正。。

   我们要知道，EIP指向的是可执行节，否则我们可以认为这是一次恶意攻击。SHELLCODE一般是会调用一些系统调用的

，我们可以从这里入手来检测。
栈回溯： 通过HOOK常见的API，判断其返回地址来判断。
           缺点： 一些API没HOOK（没HOOK W版本，或者漏了NTDLL.DLL)，伪造EBP。
这里我们提出一种办法来检测。

最近想做IE保护程序（防网马和溢出）， 沙盘，键盘记录防护，屏幕防护。。这些都是在可控制范围内，每一个项目至少需要15左右的时间，却发现没时间，大四的课还是挺多的，每天都得上课，完了之后根本没时间写代码，而且自己又喜欢学习新的东西，于是很多东西都基本没做，烦。。今天翻了下电脑，发现很多的资料，我都不知道里面是什么，是什么时候下载的，会不会看到，真晕。。自从大二开始学习编程到现在。基本每天都有在坚持。。直到现在，发现太多的东西还是没能掌握，每次去图书馆，看到那么多书，总

今天写了一半的程序，写不下去了，目前缓冲区溢出还是比较热门的，说到底是程序写代码没安全意识造成。在处理字符串上或者数组，整数上，造成了栈溢出，堆溢出或者整数溢出。当然有时候还有逻辑上的问题。下面的代码主要是想搜索PE文件中的不安全函数，来帮助发现程序中是否有不安全的函数存在。 这实现了对STRNCPY的例子。还不是很完善，没时间写了。

#include "windows.h"
#include <stdio.h>

//
//一般是可执行节，我们不能仅根据 .TEXT / .CODE来确定。
//

先来个简单的。 另外。。。MARK下 FILE_OPEN_BY_FILE_ID

HANDLE hC;

   之前有人说YASBOX的弹框很那个，今晚修改下用户程序， 驱动还是老版本的，最近应该没时间更新，用户态程序也有一大堆问题待更新。比如日志管理，人性使用等，有时间再改。。。先看下修改弹框的效果图吧。。如果不想这个弹框，可以用老版本的yasbox.exe覆盖

   X86的处理器不支持NX位。但WIN的DEP信息存储在哪里，今晚看了下，贴上相关数据结构。lkd> dt _KPROCESS

nt!_KPROCESS

    +0x000 Header