-
-
[旧帖]
[求助]shellcode中无法完成LoadLibrary的操作
0.00雪花
-
发表于:
2011-11-29 09:07
1782
-
[旧帖] [求助]shellcode中无法完成LoadLibrary的操作
0.00雪花
在分析doc的CVE-2010-3333漏洞样本中,已经用OD调试进入到了shellcode内部。shellcode在开始已经找到了GetProcAddress的地址,然后找到了LoadLibraryA的地址。但是在进行函数调用LoadLibraryA("ntdll.dll")的时候出现了错误,跳到了内存不可读的地址,无法继续跟踪shellcode的实现,通过手动修改把后缀.dll去掉也是一样。
下面是截的两张图:
在堆栈窗口中可以看到函数压入的参数是0011F1E0,是一个指针,指向的内容是字符串"ntdll.dll"
在上图中,数据窗口反汇编的一句 jmp B243EAF0,与错误框显示的B243E6AB,地址也不太相同。
请大牛分析一下是怎么回事,谢谢了。
[课程]FART 脱壳王!加量不加价!FART作者讲授!