2021年3月17日
【逆向】恶意代码分析实战Lab7-3
摘要: #初级静态分析 ##Lab7-3.exe ###查壳 ###提取字符串 查看导入导出表 通过strings.exe我们可以找到一下有意思的字符串 CloseHandle UnmapViewOfFile IsBadReadPtr MapViewOfFile CreateFileMappingA Cre 阅读全文
posted @ 2021-03-17 18:54 一窝吉尼斯 阅读(377) 评论(0) 推荐(0)
【逆向】IDA小知识
摘要: #加载前指定基地址: 之后输入基地址,这样可以在IDA进行加载时就执行基址重定向相关工作,同时,还可以让IDA显示PE头部数据 #在图形界面显示每行的地址 #显示硬编码 #窗口跳转箭头 图中红色箭头表示跳转未执行 绿色箭头表示跳转执行了 蓝色箭头表示无条件跳转 #文件窗口跳转箭头 虚线箭头表示条件跳 阅读全文
posted @ 2021-03-17 13:53 一窝吉尼斯 阅读(455) 评论(0) 推荐(0)
【Windows内核】(9)调用门实验
摘要: #1、构造一个调用门,实现3环读取高2G内存 #include "stdafx.h" #include <windows.h> #include <stdio.h> DWORD Value; void __declspec(naked) GetReg() { __asm { pushad pushf 阅读全文
posted @ 2021-03-17 13:28 一窝吉尼斯 阅读(276) 评论(0) 推荐(0)
【Windows内核】(8)调用门提权(有参)
摘要: #调用门提权(有参) ##门描述符 构造调用门描述符时,要设置 Param Count 字段,比如说要传进3个参数, 描述符可以设置为:0000EC03 00080000 有参的调用门堆栈图如下 ##构造一个有参的调用门 查看函数地址 构造调用门描述符 0040EC03 00081020 修改调用门 阅读全文
posted @ 2021-03-17 11:25 一窝吉尼斯 阅读(182) 评论(0) 推荐(0)
【Windows内核】(7)调用门提权(无参)
摘要: 调用门提权(无参) 对调用门的调用可以访问与当前代码特权相同或者特权更高的代码段中的过程。 调用门执行流程: 指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的段描述符 这个描述符是一个调用门. 在调用门描述符中存储另一个代码段段的选择子. 选择子指 阅读全文
posted @ 2021-03-17 11:07 一窝吉尼斯 阅读(374) 评论(0) 推荐(0)