yarpee - 博客园

2012年8月

摘要： ELF里面重定位项的结构struct elf32_rel { Elf32_Addr r_offset; Elf32_Word r_info; //SYMBOL=r_info>>8 TYPE=r_info&0xff. } ;r_offset是需要进行重定位的地址；SYMBOL是重定位以后需要指向的符号；TYPE是重定位的类型。绝对地址指令 c7 44 24 04 00 00 00 00 movl $0x0,0x4(%esp)相对地址指令 e8 fc ff ff ff call 27<main+0x27>编译器把这两个地址部分暂时用0x0000000... 阅读全文

posted @ 2012-08-04 22:11 yarpee 阅读(298) 评论(0) 推荐(0) 编辑

[zz]linux elf loader漏洞

摘要： Linux Kernel ELF Binary Loader Local Proof of Concepthttp://forum.eviloctal.com/thread-4414-1-1.htmlhttp://www.sudu.cn/info/html/edu/20050104/198595.html/***binfmt_elf executable file read vulnerability**gcc -O3 -fomit-frame-pointer elfdump.c -o elfdump**Copyright (c) 2004iSEC Security Research. All 阅读全文

posted @ 2012-08-04 16:36 yarpee 阅读(1379) 评论(0) 推荐(0) 编辑

[zz]对抗启发式代码仿真检测技术分析

摘要： http://bbs.sucop.com/forum.php?mod=viewthread&tid=18431&extra=page%3D1&page=1对抗启发式代码仿真检测技术分析创建时间：2008-05-06文章属性：原创文章提交：nEINEI (neineit_at_gmail.com)作者 : nEINEI 邮箱 : neineit@gmail.com 完成于：08-05-06 最近在研究病毒的检测技术，虽然在这个木马、流氓件猖獗的年代，检测技术（除了考虑效率因素外）已经变得不是十分重要了。但俺仍然出于兴趣想从这里面寻找些思路。或许对抗技术的本身并不在于谁彻阅读全文

posted @ 2012-08-03 09:22 yarpee 阅读(328) 评论(0) 推荐(0) 编辑

__attribute__ ((noreturn))优化导致漏洞

摘要： 1.noreturn A few standard library functions, such as abort and exit, cannot return. GCC knows this automatically. Some programs define their own functions that never return. You can declare them noreturn to tell the compiler this fact. For example,void fatal () __attribute__ ((noreturn));voidfata... 阅读全文

posted @ 2012-08-02 18:38 yarpee 阅读(1041) 评论(0) 推荐(0) 编辑

2012年7月

linux函数与数据访问

摘要： 1.模块内部调用或跳转对于现代的系统来讲，模块内部的跳转、函数调用都可以是相对地址调用，或者是基于寄存器的相对调用，所以对于这种指令是不需要重定位的。即无论模块被装载到哪个位置，指令都有效。2.模块内部数据访问任何一条指令与它需要访问的模块内部数据之间的相对位置是固定的，那么只需要相对于当前指令加上固定的偏移量就可以访问模块内部数据了。数据的相对寻址往往没有相对于当前指令地址(PC)的寻址方式，ELF采用了一个很巧妙的办法来得到当前的PC值，然后再加上一个偏移量就可以达到访问相应变量的目的了。3.模块间数据访问在数据段里面建立一个指向这些变量的指针数组，被称为全局偏移表(GOT)4.模块间调用阅读全文

posted @ 2012-07-29 22:18 yarpee 阅读(166) 评论(0) 推荐(0) 编辑

较少物理页面浪费

摘要：在内存映射过程中，页是映射的最小单位，对于x86系列处理器来说，默认的页大小为4096字节段地址对齐保证页映射机制，但是对其方式也造成了内部会存在内部碎片，浪费空间有些unix系统采用了一个很取巧的办法，就是让那些各个段接壤部分共享一个物理页面，然后将该物理页面分别映射两次。这样做的好处是进程中的某一段区域就是整个ELF文件的映像。同时物理页面数量也减少阅读全文

posted @ 2012-07-29 20:36 yarpee 阅读(308) 评论(0) 推荐(0) 编辑

解决ubuntu没有tun的情况

摘要： People using VPN software indeed face this issue. See :http://ubuntuforums.org/showthread.php?t=1459559&highlight=module+tun+aventail&page=3This link mentions a work-around :sudo apt-get install build-essential linux-headers-`uname -r`mkdir faketuncd faketunecho -e "#include <linux/m 阅读全文

posted @ 2012-07-24 09:10 yarpee 阅读(1517) 评论(0) 推荐(0) 编辑

[zz]ac分析

摘要： http://extreme.0ginr.com/blog/2012/05/0x0%E7%8E%A9%E7%8E%A9%E6%B7%B1%E4%BF%A1%E6%9C%8D%E7%BD%91%E7%9B%91/http://extreme.0ginr.com/blog/2012/05/0x1%E7%8E%A9%E7%8E%A9%E6%B7%B1%E4%BF%A1%E6%9C%8D%E7%BD%91%E7%9B%91/http://extreme.0ginr.com/blog/2012/05/0x2%E7%8E%A9%E7%8E%A9%E6%B7%B1%E4%BF%A1%E6%9C%8D%E7% 阅读全文

posted @ 2012-07-22 20:47 yarpee 阅读(182) 评论(0) 推荐(0) 编辑

page_to_pfn和pfn_to_page

摘要： #define page_to_pfn(page) (((page) - mem_map) + PHYS_PFN_OFFSET) //(page) - mem_map得到是有几个页，在加上物理页帧偏移#define pfn_to_page(pfn) ((mem_map + (pfn)) - PHYS_PFN_OFFSET) //物理页帧到页page两个同类型的结构体指针进行"-"运算,结果为两个单元地址空间之间一共距离多少个这种结构体http://bbs.chinaunix.net/thread-2055304-1-1.htmlhttp://hi.baidu.com/cle 阅读全文

posted @ 2012-07-20 15:47 yarpee 阅读(881) 评论(0) 推荐(0) 编辑

使用堆栈传另一个函数的返回值

摘要： add esp,8call sub_401000mov esp,ebppop ebpretn将调用函数sub_40100的返回值作为调用函数的返回值传递在调用sub_40100函数前，这个栈实际移动了8个字节。esp增加了8，这个移动使两个函数的返回值的栈位置重合了。所以这个值被传递了阅读全文

posted @ 2012-07-16 10:36 yarpee 阅读(177) 评论(0) 推荐(0) 编辑

7月读书计划

摘要： 7月份挣扎了一下要不要留在nsfocus，最后还是坚持留下来，毕竟还有很多需要学习的地方7月份的读书计划: IDA两本书再详细读一遍，具体实例分析逆向工程揭秘7月份多练阅读全文

posted @ 2012-07-15 19:25 yarpee 阅读(158) 评论(0) 推荐(0) 编辑

call/jmp 不同opcode

摘要： Opcode CALLCPU: 8086+Type of Instruction: UserInstruction: CALL procadrPhysical form:| Near call - withing the same segment| Far call - call to another segmentE8 cw CALL rel16 ; Near call, operand specifies relative displacement to next instructionE8 cd CALL rel32 ; Near call, operand specifies rela 阅读全文

posted @ 2012-07-10 22:06 yarpee 阅读(624) 评论(0) 推荐(0) 编辑

[zz]intel sysret漏洞

摘要： http://blog.xen.org/index.php/2012/06/13/the-intel-sysret-privilege-escalation/ http://weibo.com/2093186395/yr9aR6RjU?type=reposthttp://pastebin.com/n0rNbfVVhttp://hi.baidu.com/yuange1975/blog/item/003e3a00f69a03a6e950cdf7.htmlIntel的x64位芯片的sysret内部实现伪码如下——if (Not in 64-Bit Mode or Syscall/Sysret not 阅读全文

posted @ 2012-07-10 13:52 yarpee 阅读(577) 评论(0) 推荐(0) 编辑

2012年6月

为什么替代int 2e

摘要： http://www.dewen.org/q/302/%E4%B8%BA%E4%BB%80%E4%B9%88%E5%BE%AE%E8%BD%AF%E5%9C%A8windows2000%E4%BB%A5%E5%90%8E%E7%94%A8sysenter%E6%9B%BF%E6%8D%A2int+2e%EF%BC%9F 阅读全文

posted @ 2012-06-20 17:17 yarpee 阅读(170) 评论(0) 推荐(0) 编辑

svn用法小记

摘要： 1. 创建目录svn mkdir http://***/myown2. checkout到自己的用户目录svn cohttp://***/myown3. 编写文件，添加到svnsvn add ***4. 提交更改svn ci5.svn revert filenamesvn revert --recursivesvn statushttp://blog.csdn.net/wklken/article/details/6594956 阅读全文

posted @ 2012-06-18 16:02 yarpee 阅读(134) 评论(0) 推荐(0) 编辑