Fan Zhang

2009年3月20日

摘要： 1.导入函数(1)如果程序静态连接时，声明函数采用了__declspec(dllimport) 调用Foo时，被翻译成call [_imp_Foo]其中_imp_Foo是idata节里面的数据，dll的loader会修改这个地址里的数值。_imp_Foo是FirstTrunk值。(2)如果程序静态连接时，没有采用了__declspec(dllimport) 调用Foo时，被翻译成call _Foo... 阅读全文

posted @ 2009-03-20 22:42 Fan Zhang 阅读(254) 评论(0) 推荐(0)

2009年3月19日

扫雷的逆向思路

摘要：思路来源于看雪的一篇文章： http://bbs.pediy.com/showthread.php?t=55942扫雷内部的数据结构肯定是n*m的一个动态数组。数组元素中不同的值代表不同的状态。用spy++查看扫雷的窗体，发现那些小方格不是不是button，而是BitBlt画上去的。因此在BitBlt下断点，发现有两处。一处位于一个2维循环中，于是在这里找突破口。发现每个循环中的BitBlt的sr... 阅读全文

posted @ 2009-03-19 17:49 Fan Zhang 阅读(456) 评论(0) 推荐(0)

利用FS寄存器获取KERNEL32.DLL基址算法的证明(ZZ)

摘要：转自：http://blog.csdn.net/int2e/archive/2008/01/09/2032732.aspxFS寄存器指向当前活动线程的TEB结构（线程结构）偏移说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄... 阅读全文

posted @ 2009-03-19 14:56 Fan Zhang 阅读(372) 评论(0) 推荐(0)

WIN下获取kernel基址的shellcode探讨(ZZ)

摘要：转自：http://hi.baidu.com/gz1x/blog/item/c3c8f8f8b028040cd9f9fd90.html2007-10-10 15:21 gz1X [gz1x(at)tom(dot)com]2005.6.30 [什么是shellcode]———————————Shellcode是一个攻击程序（Exploit）的核心代码，能够在溢出后改变系统的正常流程，取得系统的控制... 阅读全文

posted @ 2009-03-19 14:53 Fan Zhang 阅读(499) 评论(0) 推荐(0)

关于SEH的一些总结

摘要： 1.以前的一个误解在ring3时候，fs段指向的是TEB。以前一直有个误解,fs:[0]和fs:[1]记录着EXCEPTION_REGISTRATION其实不然，而是fs:[0]记录着EXCEPTION_REGISTRATION的指针。2.数据结构，它可以形成一个链表，这个链表的首地址记录在fs:[0],其中handle是异常处理函数。_EXCEPTION_REGISTRATION struc ... 阅读全文

posted @ 2009-03-19 10:40 Fan Zhang 阅读(288) 评论(0) 推荐(0)

SEH分析

摘要： //__except_handler3函数原型 int __except_handler3( struct _EXCEPTION_RECORD * pExceptionRecord, //ebp+8 struct EXCEPTION_REGISTRATION * pRegistrationFrame,//ebp+C struct _CONTEXT *pCont... 阅读全文

posted @ 2009-03-19 10:38 Fan Zhang 阅读(673) 评论(0) 推荐(0)

2009年3月18日

汇编指令速查手册(ZZ)

摘要：数据传输指令───────────────────────────────────────它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.1. 通用数据传送指令.MOV 传送字或字节.MOVSX 先符号扩展,再传送.MOVZX 先零扩展,再传送.PUSH 把字压入堆栈.POP 把字弹出堆栈.PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.POPA 把DI,SI,B... 阅读全文

posted @ 2009-03-18 17:33 Fan Zhang 阅读(351) 评论(0) 推荐(0)

几个常用的汇编技巧

摘要： 1.得到当前指令寄存器(IP)地址 call temptemp: pop ebp这样ebp里面的值就是temp的地址。2.shell code覆盖缓冲区写shell code时需要覆盖缓冲区，覆盖函数返回地址，应选择call esp 或jump esp的地址。call esp和jump esp在程序中会有很多，搜索相应地址，填入将覆盖的地址。这样jump esp或者ca... 阅读全文

posted @ 2009-03-18 13:11 Fan Zhang 阅读(276) 评论(0) 推荐(0)

缓冲区溢出笔记

摘要：想学习阅读全文

posted @ 2009-03-18 00:05 Fan Zhang 阅读(163) 评论(0) 推荐(0)

2009年3月17日

OD使用

摘要： 1.点击M图标，进入内存查看。可以找出PE header 阅读全文

posted @ 2009-03-17 23:57 Fan Zhang 阅读(218) 评论(0) 推荐(0)

公告