目标

我正在学习漏洞开发，其中一个主题是编写shellcode。
通常情况下，msfvenom可以很好地完成shikata ga nai编码。生成的shellcode通常也包含FPU指令来获取EIP，使其成为PIC。
我提到的FPU指令是：

dadc            fcmovu st, st(4)
d97424f4        fnstenv [esp-0Ch]
5d              pop ebp

字符串

环境

Microsoft Windows Version 1709（Build 16299.2166）x86
使用WinDbg：10.0.22621.755 X86进行调试

预期结果

当我使用实验室的VM时，我能够获得FPULastInstructionOpcode，其中esp将指向包含执行fcmovu指令的EIP值的堆栈地址，因此pop ebp将eip值放置到ebp。

接收问题

在执行fcmovu指令之前，我的堆栈看起来是这样的：

01e0744c 41 41 41 41 41 41 41 41 83 0c 09 10 43 43 43 43  AAAAAAAA....CCCC
01e0745c 90 90 90 90 90 90 90 90 90 90 be 02 61 13 10 da  ............a...
01e0746c dc d9 74 24 f4 5d 29 c9 b1 52 83 c5 04 31 75 0e  ..t$.])..R...1u.
01e0747c 03 77 6f f1 e5 8b 87 77 05 73 58 18 8f 96 69 18  .wo....w.sX...i.

型
执行fnstenv指令后：

01e0744c 41 41 41 41 7f 02 ff ff 41 00 ff ff fe ff ff ff  AAAA....A.......
01e0745c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff ff  ................
01e0746c dc d9 74 24 f4 5d 29 c9 b1 52 83 c5 04 31 75 0e  ..t$.])..R...1u.
01e0747c 03 77 6f f1 e5 8b 87 77 05 73 58 18 8f 96 69 18  .wo....w.sX...i.

型
我的ESP指向0x1e0745c，EIP值应该在这里。但是，我收到的是NULL值而不是EIP值。

帮助

所以我想问社区的是，为什么我得到的是NULL值？我做错了什么？
我已经阅读了x86文档，知道fcmovu不是这里的问题。
这与我在实验室中使用的shellcode完全相同，并且我能够按预期接收EIP值。
我也读过StackExchange here的另一篇文章，但回复并没有回答OP的问题。

缓解方案

在Peter Cordes的帮助下，我发现VMWare Guest OS下的WinDbg在单步执行x87 FPU指令时从FPULastInstructionOpcode返回空值。这是一个意外的结果，通过在FPU指令后设置断点并运行shellcode来缓解。不知道为什么VMWare中的调试器会这样破坏结果，但有些事情真的不需要答案（或者更确切地说，可能是太多的工作，以调查的东西，可以微不足道地减轻）。