- 博客(6)
- 资源 (3)
- 收藏
- 关注
原创 Windows内核情景分析——Windows进程的用户空间
应用软件在用户空间可以访问的最低地址是MM_LOWEST_USER_ADDRESS,定义为0x10000,就是一个64KB边界的地方,从0开始的64KB不能访问 KI_USER_SHARED_DATA这个常数定义为0xFFDF0000,是一个区间的起点。这个区间是在系统空间,却又划出来让用户空间的程序访问,目的是用来让用户空间的程序访问内核中的一些数据。而且,这个区间是由系统空间
2009-11-30 23:40:00 3294
原创 传统的Heap Spray(转)
传统的Heap Spray是使用js分配内存。根据heap spray的思想,就是用同样的一个指令,去覆盖一片大内存地址,在每块分配到的内存最后,都付上我们的shellcode。 对这个指令的要求是,相当于NOPS的作用。且该指令指向的地址,正好落在我们覆盖的这片大存在地址中。 上面说的可能有些绕口,在实际exploit中,就是分配这样的一片内存区域,比如 0B270
2009-11-26 11:57:00 2131
原创 Windows进程线程
EPROCESS:进程控制块;它代表着Windows的一个进程,“E”表示管理层(Executive) KPROCESS:它是EPROCESS内部的一个成分,其名称就叫Pcb,所以是核心层进程控制块。K表示Kernel 用户空间中与进程有关的数据结构是“进程环境块”PEB(Process Enviroment Block)。PEB中记录着进程的运行参数,映像装入地址等
2009-11-19 23:00:00 784
原创 OllyDbg载入就退出
今天在调试一个加壳程序时,脱完壳之后加载脱壳后程序,OllyDbg就自动退出了,折腾了N久,隐藏OllyDbg等方法都不行,后来在网上搜了下,终于找到了解决方案,但是原因还是不明。 在OD调试之前,需要先手动去修改一下这个PE程序“导出表”中的“函数名数目”值。方法:使用“LordPE”打开要编辑的PE程序,然后依次选择[目录]-> [导出表对应的“..”按钮],把“函数名数目
2009-11-09 17:57:00 2505 2
原创 搜索PEB结构获取Kernel32.dll基址
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEB,PEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA 该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针,分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。 Peb->Ldr->Initializat
2009-11-04 10:08:00 3141 1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人