[求助]shellcode中无法完成LoadLibrary的操作-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]shellcode中无法完成LoadLibrary的操作 0.00雪花

发表于: 2011-11-29 09:07 1781

[旧帖] [求助]shellcode中无法完成LoadLibrary的操作 0.00雪花

snorts

2011-11-29 09:07

1781

在分析doc的CVE-2010-3333漏洞样本中，已经用OD调试进入到了shellcode内部。shellcode在开始已经找到了GetProcAddress的地址，然后找到了LoadLibraryA的地址。但是在进行函数调用LoadLibraryA("ntdll.dll")的时候出现了错误，跳到了内存不可读的地址，无法继续跟踪shellcode的实现，通过手动修改把后缀.dll去掉也是一样。

下面是截的两张图：

在堆栈窗口中可以看到函数压入的参数是0011F1E0，是一个指针，指向的内容是字符串"ntdll.dll"

在上图中，数据窗口反汇编的一句 jmp B243EAF0,与错误框显示的B243E6AB，地址也不太相同。
请大牛分析一下是怎么回事，谢谢了。

[课程]Linux pwn 探索篇！

上传的附件：

ntdll-1.png （95.55kb，71次下载）
ntdll-2.png （101.78kb，70次下载）

收藏・0

免费・0

支持

最新回复 (2)
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 2 楼发bin上来，我帮你调很明显就是函数头的位置算错了这不是一个指针，这是一个内容。所以OD报出内存不可读 2011-11-29 09:46 0
acprogram 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	acprogram 3 楼可能是杀软问题，关掉杀软试试。 2012-7-5 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

snorts

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 2 楼发bin上来，我帮你调很明显就是函数头的位置算错了这不是一个指针，这是一个内容。所以OD报出内存不可读 2011-11-29 09:46 0
acprogram 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	acprogram 3 楼可能是杀软问题，关掉杀软试试。 2012-7-5 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复