接下来，我们将在上文的基础上，进一步完善shellcode的提取。

前面关于main和execve的分析，同“基本shellcode提取方法”中相应部分的讲解。

如果execve()调用失败的话，程序将会继续从堆栈中获取指令并执行，而此时堆栈中的数据时随机的，通常这个程序会core dump。如果我们希望在execve()调用失败时，程序仍然能够正常退出，那么我们就必须在execve()调用之后增加一个exit系统调用。它的C语言程序如下：

通过gdb反汇编可以看到现在的gcc编译器向我们隐藏了exit系统调用的实现细节。但是，通过翻阅以前版本gdb反汇编信息，仍然可以得到exit系统调用的实现细节。

我们可以看到，exit系统调用将0x1放入到eax中（它是syscall的索引值），同时将退出码放入到ebx中（大部分程序正常退出时的返回值是0），然后执行“int 0x80”系统调用。

其实，到目前为止，我们要构造shellcode，但是我们并不知道我们要放置的字符串在内存中的确切位置。在3.1节中，我们采用将字符串压栈的方式获得字符串起始地址。在这一节中，我们将给出一种确定字符串起始地址的设计方案。该方案采用的是jmp和call指令。由于jmp和call指令都可以采用eip相对寻址，也就是说，我们可以从当前运行的地址跳到一个偏移地址处执行，而不必知道这个地址的确切地址值。如果我们将call指令放在“/bin/bash”字符串前，然后jmp到call指令的位置，那么当call指令被执行时，它会首先将下一个要执行的指令的地址（也就是字符串的起始地址）压入堆栈。这样就可以获得字符串的起始地址。然后我们可以让call指令调用我们的shellcode的第一条指令，然后将返回地址（字符串起始地址）从堆栈中弹出到某个寄存器中。

我们要构造的shellcode的执行流程如下图所示：

Shellcode执行流程解析：

RET覆盖返回地址eip之后，子函数返回时将跳转到我们的shellcode的起始地址处执行。由于shellcode起始地址处是一条jmp指令，它直接跳到了我们的call指令处执行。call指令先将返回地址（“/bin/bash”字符串地址）压栈之后，跳转到jmp指令下一地址处指令继续执行。这样就可以获取到字符串的地址。

即：

下面，我们用C语言内嵌汇编的方式，构造shellcode。

替换掉shellcode中含有的Null字节的指令：

修改后的代码和反汇编结果如下：