![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
工作趣文
被遗弃的庸才
这个作者很懒,什么都没留下…
展开
-
ntoskrnl.lib(loadcfg.obj) : error LNK2001: 无法解析的外部符号 ___security_cookie 解决方法
背景今天编译公司x86驱动的时候发现了如下报错,我也奇怪,为什么会找不到符号后来发现是因为用的xp的lib。ObRegisterCallbacks最少都是sp1改为win7\i386,错误变成了后来在网上找了找,都是一个人写的,被反复的转载,意思是win7不能用__try,那怎么解决这个问题。解决方法加入BufferOverflowK.lib 参考链接...原创 2022-04-07 15:31:12 · 764 阅读 · 0 评论 -
使用ObGetObjectSecurity出现返回0xC000000D的问题
背景因为公司的某项功能的要求需要获取到当前文件对象的安全描述符,在msdn上找了一遍之后发现了这个api,定义如下:https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-obgetobjectsecurityNTSTATUS ObGetObjectSecurity( PVOID Object, PSECURITY_DESCRIPTOR *SecurityDescript原创 2021-04-20 17:57:57 · 267 阅读 · 0 评论 -
分析Windbg将DMP文件解析为x86模式
工作的时候拿到一手DMP,发现Windbg把它解析成了x86出现这个问题是因为当前的进程是x32的,所以会出现这种情况,可以看到上面的地址都是32位的,我们不能正常的分析代码。可以使用下面的这个指令 !wow64exts.sw可以看到解析的地址已经正常了,但是如果访问这个地址会出现异常那么如何得到真正的Rip和Rsp呢?可以看到这里给出了Context的地址,那么这就好办了,直接使用 dt _CONTEXT 0xfffff88002fdeb10 就能观察到正确的Rip和.原创 2021-01-29 16:16:56 · 340 阅读 · 0 评论 -
内核中获取远程名称管道IP
最近需要在内核中获取远程名称管道的源地址所以首先逆向了r3的GetNamedPipeClientComputerNameW,该函数在kernelbase.dll中实现,为了更好的分析函数需要下载符号,使用下面的命令symchk /r D:\rpc\kernelbasex32 /s SRV*D:\rpc\kernelbasex32\*http://msdl.microsoft.com/download/symbols有了符号分析起来的简单了,最后将该函数所做的事情写成c代码如下:ULONG原创 2020-12-16 22:44:52 · 301 阅读 · 0 评论 -
windows开启远程Wmi服务支持
wmi不仅支持本地也同样支持远程,这里介绍一下怎么快速的让当前操作系统开启远程服务。首先这里以windwos7为例,有的朋友说,开启远程wmi没有,我说这个东西有用,他说没有用,我说小伙子还是太年轻了。这里需要当前用户是管理员权限的,当然默认的登陆用户都是管理员的,但是存在着像我一样的懒人,不给虚拟机的windows设置密码,这样是不行的,需要给当然用户设置一手密码,方法如下点击添加或者删除用户,在点击当前用户创建一手密码之后关闭防火墙关掉打开这个链接这个人不是我,老原创 2020-11-25 22:41:46 · 1279 阅读 · 0 评论 -
CVE-2016-0189
IE CVE-2016-0189远程执行漏洞分析作者: 被遗弃的庸才一、前言IE CVE-2016-0189是通过Microsoft发布的MS16-051的补丁程序进行对比之后发现的,随后漏洞被韩国用于APT攻击。出现漏洞的原因是在vbs解析引擎中,数组中指定下标时会调用vbscript!AccessArray中的vbscript!rtVariantChangeTypeEx函数,vbscript!rtVariantChangeTypeEx函数并没有实现而是调用了oleaut32!VariantChan原创 2020-08-04 09:40:13 · 665 阅读 · 0 评论 -
IE-CVE收集
最近工作需要分析IE的cve,这里是看过的比较好的文章分析CVE-2012-1876 分析文章分析文章CVE-2014-6332 分析文章分析文章CVE-2016-0189分析文章CVE-2018-8174 分析文章分析文章CVE-2018-8373分析文章 ...原创 2020-08-01 13:59:05 · 189 阅读 · 0 评论 -
关于wmi的参数拦截
最近才刚刚上班,老大给了一个wmi的事件订阅的样本给我,叫我尝试拦截一下wmi的参数。拿到任务首先去收一下有没有前人的代码可以借鉴(抄袭)的,看到有关于附加wmi的设备驱动的,好的,抄下来看看。具体实现是附加到WMIDataDevice设备上面,对IRP_MJ_SYSTEM_CONTROL进行过滤,然后就是什么都没有发生,之后看了一下微软给的wmi的驱动编程,由于网上没有现成的代码,本人技术拉跨,凭借拙略的英语阅读能力知道了要先注册下面这个函数,不然不给用IoWMIRegistrationControl原创 2020-07-24 23:32:00 · 1379 阅读 · 2 评论