摘要:
其实是很久之前的事了,这篇随笔也在草稿箱里放了挺久了,一直拖到了现在。。。 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>&g 阅读全文
摘要:
查看SSDT和SSDTShadow kd> dd KeServiceDescriptorTable 80553fa0 80502b8c 00000000 0000011c 80503000 Ntoskrl.exe 80553fb0 00000000 00000000 00000000 0000000 阅读全文
摘要:
SystemServiceTable 系统服务表 ServiceTable:指向函数地址表 Count:系统服务表被调用次数 ServiceLimit:函数数量 ArgmentTable:指向函数参数表 当进入0环之前,在eax中存了一个数字,称为系统调用号,以0x115举例 00000000000 阅读全文
摘要:
首先要说几个结构 _KTRAP_FRAME kd> dt _KTRAP_FRAME nt!_KTRAP_FRAME +0x000 DbgEbp : Uint4B +0x004 DbgEip : Uint4B +0x008 DbgArgMark : Uint4B +0x00c DbgArgPointe 阅读全文
摘要:
BOOL WriteProcessMemory( HANDLE hProcess, LPVOID lpBaseAddress, LPCVOID lpBuffer, SIZE_T nSize, SIZE_T *lpNumberOfBytesWritten ); 首先分析一下kernel32中的Writ 阅读全文
摘要:
本文思路完全来自《0day安全:软件漏洞分析技术》第三十章 实验环境 操作系统:Windows XP sp3 实验机器:VMware 15.5 Adobe Reader版本:9.0 中文版 POC 7 0 obj << /Type /Action /S /JavaScript /JS ( var s 阅读全文
摘要:
本文思路完全来自《0day安全:软件漏洞分析技术》第二十八章 实验环境 操作系统:Windows XP sp3 实验机器:VMware 15.5 IE 版本:6.0.2900.5512 msvidctl.dll版本:6.5.2600.5512 POC <html> <body> <div id="D 阅读全文
摘要:
本文思路完全来自《0day安全:软件漏洞分析技术》第二十七章 实验环境 操作系统:Windows 2000 sp4 实验机器:VMware 15.5 IE 版本:5.00.3700.1000 vgx.dll版本:5.0.3014.1003 引起漏洞的函数为_IE5_SHADETYPE_TEXT::T 阅读全文
摘要:
#include "stdafx.h" #include <windows.h> DWORD* buf; void __declspec(naked) Test(){ __asm{ pushad pushfd } *(unsigned __int64*)(((0x0000>>9)&0x7FFFF8) 阅读全文
摘要:
kd> u MmIsAddressValid l50h nt!MmIsAddressValid: 80511980 8bff mov edi,edi 80511982 55 push ebp 80511983 8bec mov ebp,esp 80511985 51 push ecx 8051198 阅读全文
摘要:
CR3-->PDPT|PDPTE0|-->PDT-->PTT-->物理内存 |PDPTE1| |PDPTE2| |PDPTE3| 每个表项十六个字节,结构 PDE/PTE保留位的第一处为XD位,判断该位是否可执行,XD=1时不可执行 实验 测试代码 #include "stdafx.h" void 阅读全文