notes for chapter3from 3.2问题描述：我们再之前的学习中使用的覆盖返回地址的方法不适用与普适情况，如当PE程序被重新加载时，栈桢可能发生移位的情况，这个时候我们得buff区的地址就需要重新计算。 解决方案：一个函数返回时，esp正好指向原理存储返回地址的下一位，我们将shellcode从ret_addr的后一个位置开始填充，并将ret_addr填充为一个进程中的”jmp esp”的指令的地址，这样函数返回后就会跳到esp指向的栈顶的位置开始执行shellcode。 3.2.3 experiment使用程序找出进程中的user32.dll中的jmp esp的指令的地址：这里使用0x77d8625f这个地址构造exp（到底使用哪一个其实需要测试一下，我第一次测试不对，第二次使用该地址就可以了）。然后根据实验需求，我们需要在弹窗结束后正常退出，即在最后加上这么一段：12mov eax,exit_addrcall eax所以我找到ExitProcess这个函数的虚拟地址：所以这里的退出进程的虚拟地址为0x7C800000+0x0001CAFA=0x7C81CAFA ...

notes about chapter 2from 2.1 每一个C++类成员都有一个this指针，在win中，这个指针一般使用ecx进行保存： 2.2.1 expriment这里的auth标志位在buffer的下方： int authenticated;char buffer[8];// add local buffto be overflowed 利用思路：覆盖掉标志位。这里的内存布局输入7777777如下:123buff[8] 71717171 qqqq 00717171 NULLqqqauth 00 00 00 01 真实存储为： 01 00 00 00 00我们想要的:123buff[8] 71717171 qqqq 00717171 NULLqqqauth 00 00 00 00 真实存储为： 00 00 00 00 00由于字符串末尾有NULL(00)作为结尾，所以我们输入8位的char型即可：123buff[8] 71717171 ...

Notes for chapter one一些概念from 1.2： 静态反汇编工具汇编工具看到的PE文件中的地址都是文件偏移（文件地址），这个是文件在磁盘上存放的相对于文件开头的偏移。 装载基址：PE装载时的基地址，默认情况下（32位）： exe的装载基址：0x00400000 dll的装载基址：0x10000000 上述的基址可以通过编译选项改变 虚拟内存地址（VA）：PE文件指令被装入内存后的地址（IDA之类显示的地址）。 相对虚拟地址（RVA）：虚拟内存地址相对于装载基址的偏移。RVA，VA，基址存在以下的计算： VA=RVA+Image Base RVA和文件地址有很大的一致性，但是由于装载以后和一般存放在磁盘上内存的存放单位不同，会有差异。（P34 0x200和0x1000的区别） 文件偏移地址与虚拟内存地址之间的换算关系可以用下面的公式来计算： 文件偏移地址 = 虚拟内存地址（VA）−装载基址（Image Base）−节偏移= RVA -节偏移 上述的RVA->文件地址的计算可以用lordPE简化过程 from 1.3 ring3级别的调试（用户 ...

简要分析漏洞在netapi32.dll中的导出函数NetpwNameCanonicalize的子函数CanonicalizePathName中。 CanonicalizePathName函数对路径合并的后的字符进以下的一些处理： 将字符串中的”/“转化成”\”： 12345678910111213.text:5FDDA1F8 rep_slash_loop: ; CODE XREF: CanonicalizePathName+88↓j.text:5FDDA1F8 cmp word ptr [eax], 2Fh ; 将"/"转换成"\".text:5FDDA1FC jz slash_to_back_slash ; 复制"\".text:5FDDA202 slash_to_back_forward: ; CODE XREF: CanonicalizePathName+ ...

概述在Windows 2000 SP0平台下， vgx.dll 版本为5.0.3014.1003，文件大小为1753160字节，漏洞函数地址为0x659D7B46，用于解析VML语言的_IE5_SHADETYPE_TEXT函数，： 动态分析用于测试测试的HTML： 1234567891011121314<html xmlns:v="urn:schemas-microsoft-com:vml"> <head> <title>fortest</title> <style> <!--v\:* { behavior: url(#default#VML); }--> </style> </head> <body> <v:rect style="HEIGHT: 444pt; WIDTH: 444pt" coordsize = " ...

简要分析漏洞点存在为netapi32.dll中的NetpwPathCanonicalize()导出函数，NetpwPathCanonicalize()是netapi32.dll的一个导出函数，用于格式化网络路径字符串，它的原型如下： 12345678int NetpwPathCanonicalize (uint16 path[ ], // [in] path nameuint8 can_path[ ], // [out] canonicalized pathuint32 maxbuf, // [in] max size of can_pathuint16 prefix[ ], // [in] path prefixuint32* pathtype, // [in out] path typeuint32 pathflags // [in] path flags, 0 or 1); 这是一个Unicode字符串处理函数，大体功能是：如果prefix串非空，将prefix串与path串用‘\’相连，并复制到输出串can_path中，输出串的容量为maxbuf字节大小： 1can_path ...

Lab11-01简要分析程序的主要流程如下： 12345678910111213141516171819202122int __cdecl main(int argc, const char **argv, const char **envp){ HMODULE hModule; // [esp+Ch] [ebp-11Ch] CHAR Filename; // [esp+10h] [ebp-118h] char v6; // [esp+11h] [ebp-117h] char v7; // [esp+11Dh] [ebp-Bh] char *v8; // [esp+120h] [ebp-8h] LPVOID v9; // [esp+124h] [ebp-4h] v9 = 0; hModule = GetModuleHandleA(0); Filename = 0; memset(&v6, 0, 0x10Cu); v7 = 0; v9 = get_dll_401080(hModule); // //加载dll G ...

Lab12-01简要分析Lab12-01.exe首先导入了psapi.dll中的一些函数的地址EnumProcessModules，GetModuleBaseNameA以及EnumProcesses： 123456789101112131415161718.text:00401115 C7 85 E8 FE FF FF 00 00+ mov [ebp+var_118], 0.text:0040111F 68 B0 60 40 00 push offset ProcName ; "EnumProcessModules".text:00401124 68 A4 60 40 00 push offset LibFileName ; "psapi.dll".text:00401129 FF 15 24 50 40 00 call ds:LoadLibrary ...

Lab10-01静态分析查看程序的导入函数： 该程序创建一个服务，控制一个服务，启动一个服务。 存在获取程序命令行参数，写文件，载入库，内存管理等相关操作。 驱动的导入函数： 存在注册表的修改操作。 Lab10-01.exe首先调用OpenSCManagerA获取服务管理器句柄： 123456.text:00401000 sub esp, 1Ch.text:00401003 push edi.text:00401004 push 0F003Fh ; dwDesiredAccess.text:00401009 push 0 ; lpDatabaseName.text:0040100B push 0 ; lpMachineName.text:0040100D call ds:OpenSCM ...