首页
社区
课程
招聘
[旧帖] [求助]shellcode中无法完成LoadLibrary的操作 0.00雪花
发表于: 2011-11-29 09:07 1815

[旧帖] [求助]shellcode中无法完成LoadLibrary的操作 0.00雪花

2011-11-29 09:07
1815
在分析doc的CVE-2010-3333漏洞样本中,已经用OD调试进入到了shellcode内部。shellcode在开始已经找到了GetProcAddress的地址,然后找到了LoadLibraryA的地址。但是在进行函数调用LoadLibraryA("ntdll.dll")的时候出现了错误,跳到了内存不可读的地址,无法继续跟踪shellcode的实现,通过手动修改把后缀.dll去掉也是一样。下面是截的两张图:

在堆栈窗口中可以看到函数压入的参数是0011F1E0,是一个指针,指向的内容是字符串"ntdll.dll"

在上图中,数据窗口反汇编的一句 jmp B243EAF0,与错误框显示的B243E6AB,地址也不太相同。
请大牛分析一下是怎么回事,谢谢了。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
发bin上来,我帮你调

很明显就是函数头的位置算错了

这不是一个指针,这是一个内容。所以OD报出内存不可读
2011-11-29 09:46
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可能是杀软问题,关掉杀软试试。
2012-7-5 10:18
0
游客
登录 | 注册 方可回帖
返回
//