- 博客(7)
- 收藏
- 关注
RSS订阅转载 函数调用过程
参数入栈:将参数从右向左依次压入系统栈中返回地址入栈:将当前代码区调用指令的下一条指令地址压入栈中,供函数返回时继续执行代码区跳转:处理器从当前代码区跳转到被调用函数的入口处栈帧调整:具体包括保存当前栈帧状态值,已备后面恢复本栈帧时使用(EBP入栈) push ebp将当前栈帧切换到新栈帧。(将ESP值装入EBP,更新栈帧底部) mov ebp,esp给...
2014-12-23 15:11:00
86
转载 缓冲区溢出基础知识
缓冲区理论学习PE文件(进程)装入内存:PE文件(进程)在内存中按照功能大致划分4个部分(1)代码区(程序段).text主要存储被装入执行的二进制代码,ALU会到这个取指令并执行,这个段通常是只读,对它的写操作是非法的。(2)数据区.data主要是存储的全局变量,主要存储静态数据。(3)堆区程序在堆区可以动态的请求分配一定大小的内存,并在用完后归还给堆区,动态分配和回收是堆区的...
2014-12-17 22:11:00
176
转载 【文件格式漏洞】微软ANI光标文件漏洞彻底分析利用
windows漏洞——user32.dll的ANI文件处理漏洞ANI文件格式ANI(APPlicedonStartinsHourGlass)文件是MSWindows的动画光标文件,可以作为鼠标指针,其文件扩展名为“.ani”。ANI文件由“块”(chunk)构成。它一般由五部分构成:标志区、文字说明区、信息区、时间控制区和数据区,即RIFF—ACON,LIST—INFO...
2014-12-16 19:18:00
205
转载 【转载】文件格式的重要性!
回顾本漏洞的重现过程和分析过程,我们首先学习了TIFF文件格式的一些基本规范,由于利用程序中没有详细的注释为什么那样构造畸形文件,因此我们需要掌握一定的文件格式规范。接着我们结合利用程序对其生成的畸形tiff文件,根据格式规范来分析,发现在第一个IFD中的第4个DE有一定的可疑,该DE指定了数值类型为16位的无符号整数,一共指定了连续的FF个这样的数值。最终通过跟踪调试的方法,定位到了栈...
2014-12-15 19:09:00
336
转载 跟踪调试技巧
由于程序控制的EIP最终为0c0c0c0c,如果不修改一下的话,跟踪调试的时候,调试器是不会停下来的,那么很简单,直接把0c0c0c0c改为FFFFFFFF即可,这样调试器会发现程序在执行非法内存地址的指令,就会停下来。停下来后,你可以去检查栈中的蛛丝马迹。根据函数调用的原理,我们可以知道覆盖EIP为FFFFFFFF前执行的指令应该是RET指令,在这个指令执行前一定有一个函数被调用,而这...
2014-12-15 17:27:00
274
转载 【转载】rep stos dword ptr es:[edi] 是做什么的?
在winDBG中反汇编一个小程序的main函数, 看到了如下的一段代码:0:000> uf .monitor!main [c:\users\myalias\documents\visual studio 2005\projects\mytest\mytest\main.c @ 32]: 32 0042f780 55 ...
2014-12-09 11:12:00
130
转载 【学习笔记】IDA
到达一个已知的反汇编位置:G。栈帧是在程序的运行时栈中分配的内存块,专门用于特定的函数调用。存在规定如何向函数传递参数的调用约定,但不存在规定函数的局部变量布局的约定。编译器的第一个任务是,计算出函数的局部变量所需的空间。编译器的第二个任务,则是确定这些变量是否可在CPU寄存器中分配,或者它们是否必须在程序栈上分配。至于具体的分配方式,既与函数的调用方无关...
2014-11-25 18:46:00
95
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人