Practical+Reverse+Engineering第三章List习题

已于 2022-08-06 14:43:14 修改
阅读量649 收藏
点赞数
分类专栏: 安全 开发 文章标签: 数据结构 c++ 链表
于 2022-08-06 01:42:58 首次发布
我是https://wochinijiamile.blog.csdn.net/的博主,手贱把号注销了
本文链接:https://blog.csdn.net/ma_de_hao_mei_le/article/details/126188091
版权

友链

http://144.34.164.217/practical-reverse-engineering-notes-part-i.html
https://144.one/practical-reverse-engineering-notes-part-ii.html

约定

将要删除的节点后面的节点叫做EntryC
将要删除的节点叫做EntryB

定位RemoveHeadList函数的inline代码

mov rax, [rbx]
mov rcx, [rax]
mov [rbx], rcx
mov [rcx+8], rbx

模式:
取rbx的值给rax,取rax的值给rcx,将rcx写入rbx,将rbx写入rcx+8

其中rbx为ListHead,rax为要删除的节点,rax是要删除的节点的Flink指向的节点

还有就是会有三个CMP判断,第一个后面紧跟je,后两个后面紧跟jne指令

nt!AlpcpFlushResourcesPort

在这里插入图片描述
上图中,r14为ListHead,cmp用于判断链表是否为空,即判断ListHead的Flink是不是ListHead本身
如果不为空则跳转

在这里插入图片描述
rsi为要删除的节点,rax为要删除的节点的Flink指向的节点
cmp用于判断要删除的节点的Blink是否指向ListHead(正常情况下是应该指向ListHead的),不跳转,继续向下执行
第二个cmp判断眼删除的节点的Flink所指向的节点的Blink是否指向要删除的节点(成立),不跳转
最后两个mov指令将头结点的Flink指向要删除的节点的Flink指向的节点
将要删除的节点的Flink指向的节点的Blink指向头结点

nt!CcDeleteMbcb

在这里插入图片描述
他这个还玩的挺花里胡哨的
r15是ListHead
rdi是要删除的节点
rcx是EntryC
那么下面这条指令,就是将EntryB的Blink指向的节点地址给了rax,那么rax就是ListHead,和r15的值是一样的

mov     rax,qword ptr [rdi+8]

所以最后的两条mov指令依然是将ListHead的Flink指向EntryC,将EntryC的Blink指向ListHead

后面的不看了,没啥意思,都差不多,全看完有点浪费时间

nt!CcGetVacbMiss

nt!CmpLazyCommitWorker

nt!ExAllocatePoolWithTag

nt!FsRtlNotifyCompleteIrpList

nt!IopInitializeBootDrivers

nt!KiProcessDisconnectList

nt!PnpDeviceCompletionQueueGetCompletedRequest

nt!RtlDestroyAtomTable

nt!RtlEmptyAtomTable

nt!RtlpFreeAllAtom

RemoveTailList和RemoveHeadList差不多,和上面正好反着,用了三个+8偏移量,1个+0偏移量,上面是用了一个+8偏移量,3个+0偏移量

定位RemoveEntryList函数的inline代码

nt!AlpcSectionDeleteProcedure

之前的文章里虽然并没有介绍RemoveEntryList函数,但是根据之前做过的题,也能总结出一些规律,下面这段代码就是该函数的汇编代码

fffff803`85c8aa8e 488b07          mov     rax,qword ptr [rdi]
fffff803`85c8aa91 483bc7          cmp     rax,rdi
fffff803`85c8aa94 0f8599000000    jne     nt!AlpcSectionDeleteProcedure+0x113 (fffff803`85c8ab33)  Branch
fffff803`85c8ab33 488b4f08        mov     rcx,qword ptr [rdi+8]
fffff803`85c8ab37 48397808        cmp     qword ptr [rax+8],rdi
fffff803`85c8ab3b 7522            jne     nt!AlpcSectionDeleteProcedure+0x13f (fffff803`85c8ab5f)  Branch

nt!AlpcSectionDeleteProcedure+0x11d:
fffff803`85c8ab3d 483939          cmp     qword ptr [rcx],rdi
fffff803`85c8ab40 751d            jne     nt!AlpcSectionDeleteProcedure+0x13f (fffff803`85c8ab5f)  Branch

nt!AlpcSectionDeleteProcedure+0x122:
fffff803`85c8ab42 488901          mov     qword ptr [rcx],rax
fffff803`85c8ab45 48894808        mov     qword ptr [rax+8],rcx
fffff803`85c8ab49 48897f08        mov     qword ptr [rdi+8],rdi
fffff803`85c8ab4d 48893f          mov     qword ptr [rdi],rdi

这是链表删除节点之前的样子
在这里插入图片描述
这是删除之后的样子
在这里插入图片描述
后面的我也不看了,都差不多
三个CMP都是紧跟jne
然后最后四个mov操作移除要删除的节点

nt!AlpcpDeletePort

nt!AlpcpUnregisterCompletionListDatabase

nt!AuthzBasepRemoveSecurityAttributeFromLists

nt!CcDeleteBcbs

nt!CcFindNextWorkQueueEntry

nt!CcLazyWriteScan

nt!CcSetFileSizesEx

nt!CmShutdownSystem

nt!CmUnRegisterCallback

nt!CmpCallCallBacks

nt!CmpPostApc

nt!ExFreePoolWithTag

nt!ExQueueWorkItem

nt!ExTimerRundown

nt!ExpDeleteTimer

nt!ExpSetTimer

nt!IoDeleteDevice

nt!IoUnregisterFsRegistrationChange

nt!IopfCompleteRequest

nt!KeDeregisterBugCheckCallback

nt!KeDeregisterObjectNotification

nt!KeRegisterObjectNotification

nt!KeRemoveQueueApc

nt!KeRemoveQueueDpc

nt!KiCancelTimer

nt!KeTerminateThread

nt!KiDeliverApc

nt!KiExecuteAllDpcs

nt!KiExpireTimerTable

nt!KiFindReadyThread

nt!KiFlushQueueApc

nt!KiInsertTimerTable

nt!KiProcessExpiredTimerList

nt!MiDeleteVirtualAddresses

nt!NtNotifyChangeMultipleKeys

nt!ObRegisterCallbacks

nt!ObUnRegisterCallbacks

后面的题是让我在windows7和windows8的x86上再把上面的题做一遍,我也不做了

ma_de_hao_mei_le
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hive实例-乘用车辆和商用车辆销售数据分析
qq_32632603的博客
07-27 5366
数据源地址:http://pan.baidu.com/s/1cKsrKi 1.准备数据源 打开 上牌数--商用车销量数据样例.xlsx,另存为car.txt文件,打开car.txt,设置编码格式为UTF-8,保存并上传至master节点。 2.创建car 数据库,建立car表,并上传数据 create external table cars( province string, --省
Practical Reverse Engineering
06-23
Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation
《Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 635
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
c++程序设计基础(第五版)(上) 习题与解答
TwcatL_tree
08-13 1万+
习题与解答 C++程序设计基础(第5版)(上) 习题与解答 第1章练习题 同步练习1.1 一、选择题 1.一个最简单的C++程序,可以只有一个( )。 (A)库函数 (B)自定义函数 (C)main函数 (D)空函数 2.函数名是( ),用于识别和调用函数。 (A)关键字 (B)标识符 (C)常数 (D)语句 3.用C++语言编写的源程序要成为目标程序必须要经过( )。 (A)解释 (B)汇编 (C)编辑 (D)编译 4.C++程序中的简单语句必须以( )结束。
oracle查询有员工,如果SEX为F显示为”女”,M显示为”男”,否则显示为”不确定”...
weixin_42612405的博客
02-14 2308
在Oracle中,你可以使用CASE语句来实现这个功能。代码如下: SELECT emp_name, CASE WHEN SEX = 'F' THEN '女' WHEN SEX = 'M' THEN '男' ELSE '不确定' END AS 性别 FROM employees; 在上面的查询语句中,我...
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 9450
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
Practical Reverse Engineering_Reverse_reverseengineering_enginee
10-02
practical reverse engineering
Practical Reverse Engineering 无水印pdf
09-25
Practical Reverse Engineering 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传...
高清彩版 Advanced+Apple+Debugging+&+Reverse+Engineering,+2nd+Edition
11-10
高清彩版 Advanced+Apple+Debugging+&+Reverse+Engineering,+2nd+Edition_Explore+code+through+LLDB,+Python+and+DTrace-Derek+Selander
Advanced+Apple+Debugging+&+Reverse+Engineering,+2nd+Edition-Selander(2017).pdf
01-24
The same negative connotation can also be applied to reverse engineering software. Images of masked hackers stealing bank accounts and credit cards may come to mind, but for this book, reverse ...
服务器无限蓝屏,服务器频繁蓝屏,帮忙分析一下minidump,急求帮助!
weixin_42514222的博客
08-09 1118
ymbol search path is: srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbolsExecutable search path is:Windows 7 Kernel Version 7600 MP (16 procs) Free x64Product: Server, suite...
读书笔记之《Windows内核原理与实现》
weixin_34306593的博客
10-27 812
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExce...
性能服务器蓝屏,服务器频繁蓝屏,帮忙分析一下minidump,急求帮助!
weixin_32100383的博客
08-05 716
ymbol search path is: srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbolsExecutable search path is:Windows 7 Kernel Version 7600 MP (16 procs) Free x64Product: Server, suite...
float(浮点数或实数)与Hexadecimal(十六进制)之间的转换
脚跟着地的专栏
01-10 9459
先看一下IEEE关于浮点数的定义:IEEE 754规定了四种表示浮点数值的方式:单精确度(32位元)、双精确度(64位元)、延伸单精确度(43位元以上,很少使用)与延伸双精确度(79位元以上,通常以80位元实做)。只有32位元模式有强制要求,其他都是选择性的。 32位单精度单精度二进制小数,使用32个位元存储。1823 位长SExpF
汇编语言||基本传送指令MOV的用法详解
热门推荐
JockLiu的博客
12-20 6万+
MOV指令 MOV指令,能实现以下操作: CPU内部寄存器之间数据的任意传送(除了码段寄存器CS和指令指针IP以外)。 立即数传送至CPU内部的通用寄存器组(即AX、BX、CX、DX、BP、SP、SI、DI),给这些寄存器赋初值。 CPU内部寄存器(除了CS和IP以外)与存储器(所有寻址方式)之间的数据传送,可以实现一个字节或一个字的传送。 能实现用立即数给存储单元赋初值。 其中...
系统回调 CmpCallback
张昆
11-01 2118
系统回调 CmpCallback
keras中的几个比较常用的Callbacks函数
qq_31119155的博客
05-10 1130
语法 Keras.callbacks.ModelCheckpoint(filepath,monitor,verbose,save_best_only,mode,save_weights_only,period ) 参数说明 filepath:模型保存的路径 monitor:需要监视的值 verbose:信息展示的模式 (取值 0,1,2) 0:不在标准输出流输出日志...
用实例学习:指令编码的解析!
aezympxj84131的博客
07-28 241
用实例学习:指令编码的解析! 这里,我尝试解析一些实际的指令编码: (一) 指令Encode 转化为 汇编语句 以下指令编码摘自某句汇编码, 我将这段指令编码,解析成汇编语句: 示例一: 00000016:89 54 24 04 分析如下:...
impala+reverse+()
最新发布
12-01
reverse()函数是Python中的一个内置函数,可以将字符串反转。因此,impala+reverse+()并不是一个常见的组合。 如果您想了解如何在Impala中使用reverse()函数,可以参考以下示例: 假设有一个名为test的表,其中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值