2021年3月18日
【Windows内核】(10)中断门
摘要: #中断门 ##IDT IDT既中断门描述符表,同GDT一样,IDT也是由一系列描述符组成的,每个描述符占8个字节。但要注意的是,IDT表中的第一个元素不是NULL。 IDT表可以包含3种门描述符: 任务门描述符 中断门描述符 陷阱门描述符 ##中断门与调用门的区别 1)Windows没有使用调用门, 阅读全文
posted @ 2021-03-18 10:56 一窝吉尼斯 阅读(187) 评论(0) 推荐(0)
2021年3月17日
【逆向】恶意代码分析实战Lab7-3
摘要: #初级静态分析 ##Lab7-3.exe ###查壳 ###提取字符串 查看导入导出表 通过strings.exe我们可以找到一下有意思的字符串 CloseHandle UnmapViewOfFile IsBadReadPtr MapViewOfFile CreateFileMappingA Cre 阅读全文
posted @ 2021-03-17 18:54 一窝吉尼斯 阅读(377) 评论(0) 推荐(0)
【逆向】IDA小知识
摘要: #加载前指定基地址: 之后输入基地址,这样可以在IDA进行加载时就执行基址重定向相关工作,同时,还可以让IDA显示PE头部数据 #在图形界面显示每行的地址 #显示硬编码 #窗口跳转箭头 图中红色箭头表示跳转未执行 绿色箭头表示跳转执行了 蓝色箭头表示无条件跳转 #文件窗口跳转箭头 虚线箭头表示条件跳 阅读全文
posted @ 2021-03-17 13:53 一窝吉尼斯 阅读(455) 评论(0) 推荐(0)
【Windows内核】(9)调用门实验
摘要: #1、构造一个调用门,实现3环读取高2G内存 #include "stdafx.h" #include <windows.h> #include <stdio.h> DWORD Value; void __declspec(naked) GetReg() { __asm { pushad pushf 阅读全文
posted @ 2021-03-17 13:28 一窝吉尼斯 阅读(276) 评论(0) 推荐(0)
【Windows内核】(8)调用门提权(有参)
摘要: #调用门提权(有参) ##门描述符 构造调用门描述符时,要设置 Param Count 字段,比如说要传进3个参数, 描述符可以设置为:0000EC03 00080000 有参的调用门堆栈图如下 ##构造一个有参的调用门 查看函数地址 构造调用门描述符 0040EC03 00081020 修改调用门 阅读全文
posted @ 2021-03-17 11:25 一窝吉尼斯 阅读(182) 评论(0) 推荐(0)
【Windows内核】(7)调用门提权(无参)
摘要: 调用门提权(无参) 对调用门的调用可以访问与当前代码特权相同或者特权更高的代码段中的过程。 调用门执行流程: 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符 这个描述符是一个调用门. 在调用门描述符中存储另一个代码段段的选择子. 选择子指 阅读全文
posted @ 2021-03-17 11:07 一窝吉尼斯 阅读(374) 评论(0) 推荐(0)
2021年3月8日
【Windows内核】(6) 短调用长调用堆栈图
摘要: 短调用长调用堆栈图 一、短调用 指令格式:CALL 立即数/寄存器/内存 发生改变的寄存器:ESP EIP 2、长调用(跨段不提权) 指令格式:CALL CS:EIP(EIP是废弃的) 不是EIP决定的 是段选择子查表得到的 发生改变的寄存器:ESP EIP CS 3、长调用(跨段并提权) 指令格式 阅读全文
posted @ 2021-03-08 09:57 一窝吉尼斯 阅读(118) 评论(0) 推荐(0)
【Windows内核】(5) 代码跨段跳转
摘要: 代码跨段跳转 一、前言 段寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 段寄存器读写: 除CS外,其他的段寄存器都可以通过MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS为什么不可以直接修改呢? CS是代码段 CS的改变意味着EIP的改变,改变CS的同时必须修改EIP 阅读全文
posted @ 2021-03-08 09:48 一窝吉尼斯 阅读(207) 评论(0) 推荐(0)
【Windows内核】(4) 数据段权限检查
摘要: 数据段权限检查 一、CPL DPL RPL CPL :CPL是当前执行的程序或任务的特权级。它被存储在CS和SS的第0位和第1位上。通常情况下,CPL代表代码所在的段的特权级。当程序转移到不同特权级的代码段时,处理器将改变CPL。只有0和3两个值,分别表示用户态和内核态。 DPL :如果你想访问我, 阅读全文
posted @ 2021-03-08 09:32 一窝吉尼斯 阅读(185) 评论(0) 推荐(0)
2021年3月4日
【Windows内核】(3) 段描述符属性
摘要: 一、P位 P=1 段描述符有效 P=0 段描述符无效 如何快速确定哪个描述符的P位为0或者为1? ​ 看第五位是否大于8 大于8则P位为1 小于8则P位为0 二、G位 G=0 limit单位是字节 G=1 limit单位为4KB 在段描述符向段寄存器结构体中填充时 ,段描述符limit的位数只有20 阅读全文
posted @ 2021-03-04 16:29 一窝吉尼斯 阅读(136) 评论(0) 推荐(0)