-
-
[分享&挑战]sekurlsa.dll逆向分析challenge(可能发现windows系统账号存储机制的小秘密)
-
发表于: 2012-2-23 20:55
-
|
|
|---|---|
|
|
|
|
|
请教高人,特别是pcasa,对模块wdigest进行反汇编, 该模块并没有导出变量。那么,7EAC538A处应是wdigest引用的局部变量。这个局部变量应该是你说的l_LogSessList之类的变量。
问题一:IDA反汇编wdigest,7EAC538A处并没有出现你贴出的?l_LogSessList@@3U_LIST_ENTRY@@A ; _LIST_ENTRY l_LogSessList,图示如下。请问你用什么软件进行的反汇编。 问题二:如何得到变量l_LogSessList的值。也就是:变量l_LogSessList何时被赋值?我的调试环境下,变量l_LogSessList的地址为742ec29c,对该地址下内存写断点没有结果。逐步跟踪发现在执行完sekurlsa 10034bd3这条指令后,742ec29c地址处写上了值。但是sekurlsa 10034bd3这条指令并没有对742ec29c地址进行操作。 非常疑惑,希望各位过来人指点。   |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
斗胆请教一下pcasa,怎样得到l_LogSessList结构体变量地址的?我的理解是:作者是在sub_10002ba0这个函数中获得l_LogSessList,在该函数中从wdigest!SpInstanceInit地址处开始遍历,虽然最后跟到了l_LogSessList结构体变量地址,但是对遍历的过程理解的很乱,特别是对SpInstanceInit这个函数很不解,请不吝赐教!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
