Archive for the ‘Windows’ Category

0xCC

经常在debug模式下看到有如下汇编代码用0xCC填充栈空间:

mov ecx, 30h

mov eax, 0CCCCCCCCh

rep stos dword ptr es:[edi]

今天才知道0xCC是int 3调试中断的机器码,恍然大悟。

ln

ln (List Nearest Symbols)
The ln command displays the symbols at or near the given address.

Syntax
ln Address

Parameters
Address
Specifies the address where the debugger should start to search for symbols. The nearest symbols, either before or after Address, are displayed. For more information about the syntax, see Address and Address Range Syntax.

OpenProcessToken

OpenProcessToken

【分享】利用系统Hotpatch加载驱动的一种比较取巧的方法

DLL转发

动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述

[编程交流]DLL转发技术,实现程序隐藏与自启动(下)

#GDT

http://book.51cto.com/art/200812/103206.htm

段描述符表基址保存在gdtr寄存器中,gdtr寄存器由base32和limit16两个字段组成,limit最大值是0xFFFF,而每个段描述符占8字节,因此段描述符表中最多只能有8192((0xFFFF+1)/8)个段描述符。另一方面段寄存器中保存着段选择子,也因为每个段描述符占8字节,因此只需要前13位保存其在段描述符表中的索引号(前13位+后3位置0也能很快定位其偏移量),后3位则可以用作其他用途(1位TI指示段描述符在GDT还是LDT中,2位CPL指示当前特权级)。

r gdtr查看gdtr中保存的GDT基址。

dg (Display Selector)
The dg command shows the segment descriptor for the specified selector.

Syntax
dg FirstSelector [LastSelector]

Parameters
FirstSelector
Specifies the hexadecimal selector value of the first selector to be displayed.
LastSelector
Specifies the hexadecimal selector value of the last selector to be displayed. If this is omitted, only one selector will be displayed.

更多请参考WinDbg帮助手册,如dg 0 8显示前两个段描述符。

无觅相关文章插件,快速提升流量