首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]NT内核创建进程之创建节区分析
发表于: 2010-6-11 21:59 12685

[原创]NT内核创建进程之创建节区分析

超然 活跃值
3
2010-6-11 21:59
12685
 
text:00441FED    push    'aCmM'          ; Tag
.text:00441FF2     push    68h             
; NumberOfBytes [FONT=宋体]为[/FONT] sizeof(CONTROL_AREA) + sizeof(MSUBSECTION)
.text:00441FF4     push    esi             ; PoolType
.text:00441FF5     call    _ExAllocatePoolWithTag@12 ; ExAllocatePoolWithTag(x,x,x)

 
.text:0044208F                 lea     eax, [ebp+var_GlobalNeeded]
.text:00442092                 push    eax             ; GlobalNeeded
.text:00442093                 push    1               ; PfnLockHeld
.text:00442095                 push    [ebp+var_pFileObject] ; File
.text:00442098                 call    _MiFindImageSectionObject@12 ; 

 
text:00442225     push    [ebp+var_NewControlArea] ; InputControlArea
.text:00442228     push    [ebp+var_ChangeFileReference_pFO] ; File
.text:0044222B    call    _MiInsertImageSectionObject@8 ; MiInsertImageSectionObject(x,x)
 

 
text:0044238C    cmp     [ebp+var_AllocationAttributes], esi
.text:0044238F    lea     eax, [ebp+Segment]
.text:00442392    jz      short var_AllocationAttributes_is_0 ; [FONT=宋体]对于可执行文件,跳转不成功[/FONT]
.text:00442394    push    eax             ; _SEGMENT **
.text:00442395    push    [ebp+var_ChangeFileReference_pFO] ; _FILE_OBJECT *
.text:00442398    call    _MiCreateImageFileMap@8 ; MiCreateImageFileMap(x,x)
.text:0044239D    jmp     short loc_4423B4
.text:0044239F ; ---------------------------------------------------------------------------
.text:0044239F var_AllocationAttributes_is_0:          
.text:0044239F    push    [ebp+var_IgnoreFileSizing] ; IgnoreFileSizing
.text:004423A2   push    dword ptr [ebp+1Ch] ; AllocationAttributes
.text:004423A5   push    [ebp+arg_SectionPageProtection] ; SectionPageProtection
.text:004423A8   push    [ebp+arg_pInputMaximumSize] ; MaximumSize
.text:004423AB   push    eax             ; Segment
.text:004423AC   push    [ebp+var_ChangeFileReference_pFO] ; File
.text:004423AF   call    _MiCreateDataFileMap@24 ; MiCreateDataFileMap(x,x,x,x,x,x)
.text:004423B4 loc_4423B4: 

 
[FONT=宋体]PAGE:004F8426                 push    eax             ; FileSize[/FONT]
[FONT=宋体]PAGE:004F8427                 push    [ebp+arg_pfobFile] ; FileObject[/FONT]
[FONT=宋体]PAGE:004F842A                 xor     esi, esi[/FONT]
[FONT=宋体]PAGE:004F842C                 inc     esi[/FONT]
[FONT=宋体]PAGE:004F842D                 xor     edi, edi[/FONT]
[FONT=宋体]PAGE:004F842F                 mov     [ebp+var_MarkModified], esi[/FONT]
[FONT=宋体]PAGE:004F8435                 mov     [ebp+var_MarkHeaderModified], edi[/FONT]
[FONT=宋体]PAGE:004F8438                 call    _FsRtlGetFileSize@8 ; FsRtlGetFileSize(x,x)[/FONT]
 

 
[FONT=宋体]PAGE:004F84B9    mov     ecx, dword ptr _MmPfnDatabase[/FONT]
[FONT=宋体]PAGE:004F84C2    mov     ebx, eax        ; eax = PageFrameNumber[/FONT]
[FONT=宋体]PAGE:004F84C4    lea      eax, [ebx+ebx*2][/FONT]
[FONT=宋体]PAGE:004F84C7    lea      eax, [ecx+eax*8] [/FONT]
[FONT=宋体]PAGE:004F84CA   mov     [ebp+var_Pfn1], eax[/FONT]

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
besterChen
雪    币: 168
活跃值: (152)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
2
哈哈,还是我的沙发~~~~

我太厉害了~~~
2010-6-11 22:27
0
人与人
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
板凳慢慢欣赏
2010-6-24 19:08
0
gotiger
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我坐地上观察
2010-6-25 14:17
0
fengyunabc
雪    币: 3738
活跃值: (3872)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
感谢分享!
2020-8-12 16:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//